2Jul
AppArmor, Ubuntu sisteminizdeki programları kilitleyerek onlara yalnızca normal kullanımda gerektirdikleri izinleri sağlar - özellikle tehlikeye girebilecek sunucu yazılımları için yararlıdır. AppArmor, diğer uygulamaları kilitlemek için kullanabileceğiniz basit araçları içerir.
AppArmor varsayılan olarak Ubuntu ve diğer bazı Linux dağıtımlarında bulunur. Ubuntu AppArmor'u çeşitli profillerle birlikte gönderir, ancak kendi AppArmor profillerinizi de oluşturabilirsiniz. AppArmor'un yardımcı programları bir programın yürütülmesini izleyebilir ve bir profil oluşturmanıza yardımcı olabilir.
Bir uygulama için kendi profilinizi oluşturmadan önce, sınırlamak istediğiniz uygulama için bir profilin mevcut olup olmadığını görmek için Ubuntu'nun depolarındaki apparmor-profiles paketini kontrol etmek isteyebilirsiniz.
Oluştur & amp;Bir Test Planı Çalıştırma
AppArmor bunu izlerken ve tüm normal işlevlerini yürüdükçe programı çalıştırmanız gerekir. Temel olarak, programı normal kullanımda olduğu gibi kullanmalısınız: Programı başlatın, durdurun, yeniden yükleyin ve tüm özelliklerini kullanın. Programın gerçekleştirmesi gereken işlevleri içeren bir test planı tasarlamanız gerekir.
Test planınıza girmeden önce, bir terminal başlatın ve aa-genprof'i kurmak ve çalıştırmak için aşağıdaki komutları çalıştırın:
sudo apt-get install aygıtçıları-utils
sudo aa-genprof /path/to/ ikili
Terminalde aa-genprof çalışmasına izin verin,programı başlatıp yukarıda tasarladığınız test planını uygulayın. Test planınız ne kadar kapsamlıysa, o kadar az sorunla daha sonra karşılaşacaksınız.
Test planınızı tamamladıktan sonra, terminale dönün ve AppArmor olayları için sistem günlüğünü taramak için S tuşuna basın.
Her etkinlik için bir eylem seçmeniz istenir.Örneğin, aşağıda, profillemiş olduğumuz /usr/bin/ adamının /usr/bin/ tbl'yi uyguladığını görebiliyoruz. /usr/bin/ tbl'nin /usr/bin/'nin güvenlik ayarlarını, kendi AppArmor profiliyle çalışsın mı yoksa kapalı kipte mi çalışması gerektiği konusunda miras alıp almayacağını seçebiliriz.
Bazı diğer işlemler için farklı istemler göreceksiniz - burada,
terminalini temsil eden bir cihaz olan /dev/ tty'ye erişim izni veriyoruz. İşlemin sonunda yeni AppArmor profilinizi kaydetmeniz istenecektir.
Şikayet Modunu Etkinleştir &Profil
'yi Ayarlama Profil oluşturduktan sonra "şikayet modu" na koyun; burada, AppArmor, gerçekleştirebileceği işlemleri kısıtlamaz, aksi halde oluşabilecek kısıtlamaları kaydeder:
sudo aa-complain /path/to/ ikili
Programı normal olarak kullanınbir süre için. Normal olarak şikayet modunda kullandıktan sonra, sistem günlüğünüzdeki hataları tarayıp hataları taramak için aşağıdaki komutu çalıştırın:
sudo aa-logprof
Uygulamayı Kilitlemek İçin Enforce Modunu Kullanma
AppArmor profilinizi hassas ayarladıktan sonra, uygulamayı kilitlemek için "zorlama modunu" etkinleştirin:
sudo aa-enforce /path/to/ ikili
Gelecekte profilinizi değiştirmek için sudo aa-logprof komutunu çalıştırmak isteyebilirsiniz.
AppArmor profilleri düz metin dosyalarıdır, bu nedenle bunları bir metin düzenleyicisinde açabilir ve elle bunları değiştirebilirsiniz. Bununla birlikte, yukarıdaki yardımcı programlar süreç boyunca sizi yönlendirir.