Az AppArmor profilok létrehozása az Ubuntu programjainak lezárásához
Az AppArmor bezárja a programokat az Ubuntu rendszerén, így csak a normál használat során szükséges jogosultságokat teszi lehetővé - különösen hasznosak a szerver szoftverek esetében, amelyek veszélyeztethetik őket. Az AppArmor egyszerű eszközöket tartalmaz, amelyek segítségével más alkalmazásokat rögzíthet.
Az AppArmor alapértelmezés szerint szerepel az Ubuntu-ban és néhány más Linux-disztribúcióban. Az Ubuntu több profillal szállítja az AppArmort, de létrehozhat saját AppArmor profilokat is. Az AppArmor segédprogramjai nyomon követhetik a program végrehajtását és segítenek létrehozni egy profilt.
Mielőtt létrehozná egy saját profilját egy alkalmazáshoz, érdemes ellenőrizni az apparmor-profile csomagot az Ubuntu tárolóiban, hogy lássa, hogy létezik-e már egy olyan profil profilja, amelyre a korlátozni kívánt alkalmazást szeretné használni..
Tesztterv létrehozása és futtatása
Futtatnia kell a programot, miközben az AppArmor figyeli, és végigfut az összes normál funkcióján. Alapvetően a programot úgy kell használni, ahogy azt normál használatban használná: indítsa el a programot, állítsa le, töltse be újra, és használja az összes funkcióját. Meg kell terveznie egy olyan vizsgálati tervet, amely átmegy a program által végrehajtandó funkciókkal.
Mielőtt elindítaná a teszttervet, indítsa el a terminált, és futtassa a következő parancsokat az aa-genprof telepítéséhez és futtatásához:
sudo apt-get install apparmor-utils
sudo aa-genprof / elérési út / bináris
Hagyja a aa-genprofot a terminálon, indítsa el a programot, és fusson át a fenti terven. Minél átfogóbb a tesztterve, annál kevesebb problémát fog majd felmutatni később.
Miután befejezte a tesztterv végrehajtását, térjen vissza a terminálhoz és nyomja meg a S gomb a rendszernapló beolvasásához az AppArmor eseményekhez.
Minden eseményre felkéri a műveletet. Például az alábbiakban láthatjuk, hogy / usr / bin / man, amelyet profilunkban készítettünk, végrehajtottuk az / usr / bin / tbl parancsot. Kiválaszthatjuk, hogy a / usr / bin / tbl örökölje-e az / usr / bin / man biztonsági beállításait, függetlenül attól, hogy a saját AppArmor profiljával kell-e futnia, vagy nem konfigurált módban kell futtatnia.
Néhány más műveletnél különböző utasítások láthatók - itt engedélyezzük a hozzáférést a / dev / tty-hez, egy olyan eszközhöz, amely a terminált képviseli
A folyamat végén megjelenik az új AppArmor profil mentése.
Engedélyezési és engedélyezési mód engedélyezése
A profil létrehozása után helyezze azt „panaszkodó módba”, ahol az AppArmor nem korlátozza az általa megteendő műveleteket, hanem minden egyéb korlátozást naplóz.
sudo aa-sūdzing / path / to / binary
Használja a programot általában egy ideig. Miután rendszeresen használta a panaszos módban, futtassa a következő parancsot a rendszer naplóinak hibáinak szkenneléséhez és a profil frissítéséhez:
sudo aa-logprof
Az Enforce mód használata az alkalmazás leállításához
Miután befejezte az AppArmor profil finomhangolását, engedélyezze az „érvényesítési mód” alkalmazást az alkalmazás lezárásához:
sudo aa-enforce / path / to / binary
Lehet, hogy futtatni szeretné a sudo aa-logprof parancsot ad a jövőben a profilod csípésére.
Az AppArmor profilok egyszerű szöveges fájlok, így azok szövegszerkesztőben nyithatók meg, és kézzel is csíphetők. A fenti segédprogramok azonban végigvezeti Önt a folyamaton.