2Jul
АппАрмор закључава програме на вашем Убунту систему, дозвољавајући им само дозволе које су им потребне у нормалној употреби - нарочито корисно за серверски софтвер који може постати компромитован.АппАрмор садржи једноставне алатке које можете користити за закључавање других апликација.
АппАрмор је подразумевано укључен у Убунту и неке друге Линук дистрибуције.Убунту испоручује АппАрмор са неколико профила, али такође можете креирати сопствене профиле АппАрмор.Помоћни програми компаније АппАрмор могу надгледати извршавање програма и помоћи вам да креирате профил.
Пре креирања сопственог профила за апликацију, можда ћете желети да проверите пакет пакета аппармор-профилес у Убунтуовим репозиторијумима да бисте видели да ли постоји профил за апликацију коју желите ограничити.
Креирај и амп;Покретање тест плана
Мораћете покренути програм док АппАрмор то гледа и шета кроз све своје нормалне функције.У суштини, требало би да користите програм јер ће се користити у нормалној употреби: покренути програм, зауставити га, поново учитати и користити све његове функције.Требало би да направите план тестирања који пролази кроз функције које програм треба да изводи.
Пре него што покренете план теста, покрените терминал и покрените следеће команде да бисте инсталирали и покренули аа-генпроф:
судо апт-гет инсталл аппармор-утилс
судо аа-генпроф /path/to/ бинарни
Оставите аа-генпроф ради на терминалу,започните програм и прођите кроз план тестова који сте дизајнирали изнад.Што је свеобухватнији план тестирања, мање проблема ће се појавити касније.
Када завршите извршавање плана теста, вратите се на терминал и притисните тастер S да бисте скенирали системски дневник за догађаје у програму АппАрмор.
За сваки догађај од вас ће бити затражено да изаберете акцију.На пример, доле можемо видети да је /usr/bin/ човек, који смо профилирали, извршили /usr/bin/ тбл.Можемо да изаберемо да ли /usr/bin/ тбл треба да наслеђује безбедносне поставке /usr/bin/ човека, без обзира да ли то треба покренути са сопственим профилом АппАрмор или да ли треба да се покрене у неограниченом моду.
За неке друге акције, видећете различите позиве - овде дозвољавамо приступ /dev/ тти, уређају који представља терминал
На крају процеса, од вас ће бити затражено да сачувате свој нови АппАрмор профил.
Омогућавање режима жалбе & амп;Преправљање профила
Након креирања профила, ставите га у "жалбени режим", где АппАрмор не ограничава радње које може предузети, већ умјесто тога региструје било која ограничења која би се иначе појавила:
судо аа-жали /path/to/ бинарни
Користите програм нормалноза неко време.Након што га нормално користите у режиму жалби, покрените следећу команду да бисте скенирали системске логове за грешке и ажурирали профил:
судо аа-логпроф
Коришћење Енфорце режима за закључавање апликације
Након што завршите фино подешавање вашег АппАрмор профила, омогућите "извршни режим" да закључа апликацију:
судо аа-изврши /path/to/ бинарни
Можда желите да покренете судо аа-логпроф наредбу у будућности да бисте подесили свој профил.
АппАрмор профили су текстуални фајлови, тако да их можете отворити у текстуалном едитору и подешити их ручно.Међутим, горенаведени корисници вас воде кроз процес.
