2Jul

Så här skapar du AppArmor-profiler för att låsa ner program på Ubuntu

AppArmor låser ner program på ditt Ubuntu-system, så att de bara tillåter de rättigheter de behöver vid normal användning - särskilt användbar för serverns programvara som kan komma att äventyras. AppArmor innehåller enkla verktyg som du kan använda för att låsa ner andra program.

AppArmor ingår som standard i Ubuntu och några andra Linux-distributioner. Ubuntu skickar AppArmor med flera profiler, men du kan också skapa egna AppArmor-profiler. AppArmors verktyg kan övervaka programmets körning och hjälpa dig att skapa en profil.

Innan du skapar din egen profil för en applikation kanske du vill kolla apparmorprofilpaketet i Ubuntus repositorier för att se om en profil för det program du vill begränsa redan existerar.

Skapa &Kör en testplan

Du måste köra programmet medan AppArmor tittar på det och går igenom alla sina normala funktioner. I grund och botten borde du använda programmet som det skulle användas vid normal användning: starta programmet, stoppa det, ladda om det och använd alla funktioner. Du ska utforma en testplan som går igenom de funktioner som programmet behöver utföra.

Innan du kör igenom din testplan, starta en terminal och kör följande kommandon för att installera och köra aa-genprof:

sudo apt-get installera apparmor-utils

sudo aa-genprof /path/to/ binär

Lämna aa-genprof i terminalen,starta programmet och kör igenom testplanen du planerade ovan. Ju mer omfattande din testplan, desto mindre problem kommer du till senare.

När du är klar med att genomföra din testplan, återgå till terminalen och tryck på S -tangenten för att skanna systemloggen för AppArmor-händelser.

För varje händelse uppmanas du att välja en åtgärd. Till exempel kan vi se att /usr/bin/ man, som vi profilerade, utförde /usr/bin/ tbl. Vi kan välja om /usr/bin/ tbl ska ärva /usr/bin/ människans säkerhetsinställningar, oavsett om den ska köras med egen AppArmor-profil, eller om den ska köras i obegränsat läge.

För vissa andra åtgärder ser du olika instruktioner - här tillåter vi tillgång till /dev/ tty, en enhet som representerar terminalen

Vid slutet av processen kommer du att bli uppmanad att spara din nya AppArmor-profil.

Aktivera klagomål &Tweaking av profilen

Efter att ha skapat profilen, lägg den in i "complain mode", där AppArmor inte begränsar de åtgärder det kan ta men loggar in några begränsningar som annars skulle inträffa:

sudo aa-klaga /path/to/ binär

Använd programmet normaltett tag. Efter att du använt det normalt i klagläge, kör följande kommando för att skanna systemloggarna för fel och uppdatera profilen:

sudo aa-logprof

Använda Enforce-läge för att låsa ner applikationen

När du har klarat finjustering av din AppArmor-profil, aktivera "enforce mode" för att låsa ner programmet:

sudo aa-enforce /path/to/ binär

Du kanske vill köra sudo aa-logprof kommandot i framtiden för att finjustera din profil.

AppArmor-profiler är enkla textfiler, så du kan öppna dem i en textredigerare och tweak dem manuellt. Men verktygen ovan leder dig genom processen.