Homepage » hogyan kell » Az AppArmor profilok létrehozása az Ubuntu programjainak lezárásához

    Az AppArmor profilok létrehozása az Ubuntu programjainak lezárásához

    Az AppArmor bezárja a programokat az Ubuntu rendszerén, így csak a normál használat során szükséges jogosultságokat teszi lehetővé - különösen hasznosak a szerver szoftverek esetében, amelyek veszélyeztethetik őket. Az AppArmor egyszerű eszközöket tartalmaz, amelyek segítségével más alkalmazásokat rögzíthet.

    Az AppArmor alapértelmezés szerint szerepel az Ubuntu-ban és néhány más Linux-disztribúcióban. Az Ubuntu több profillal szállítja az AppArmort, de létrehozhat saját AppArmor profilokat is. Az AppArmor segédprogramjai nyomon követhetik a program végrehajtását és segítenek létrehozni egy profilt.

    Mielőtt létrehozná egy saját profilját egy alkalmazáshoz, érdemes ellenőrizni az apparmor-profile csomagot az Ubuntu tárolóiban, hogy lássa, hogy létezik-e már egy olyan profil profilja, amelyre a korlátozni kívánt alkalmazást szeretné használni..

    Tesztterv létrehozása és futtatása

    Futtatnia kell a programot, miközben az AppArmor figyeli, és végigfut az összes normál funkcióján. Alapvetően a programot úgy kell használni, ahogy azt normál használatban használná: indítsa el a programot, állítsa le, töltse be újra, és használja az összes funkcióját. Meg kell terveznie egy olyan vizsgálati tervet, amely átmegy a program által végrehajtandó funkciókkal.

    Mielőtt elindítaná a teszttervet, indítsa el a terminált, és futtassa a következő parancsokat az aa-genprof telepítéséhez és futtatásához:

    sudo apt-get install apparmor-utils

    sudo aa-genprof / elérési út / bináris

    Hagyja a aa-genprofot a terminálon, indítsa el a programot, és fusson át a fenti terven. Minél átfogóbb a tesztterve, annál kevesebb problémát fog majd felmutatni később.

    Miután befejezte a tesztterv végrehajtását, térjen vissza a terminálhoz és nyomja meg a S gomb a rendszernapló beolvasásához az AppArmor eseményekhez.

    Minden eseményre felkéri a műveletet. Például az alábbiakban láthatjuk, hogy / usr / bin / man, amelyet profilunkban készítettünk, végrehajtottuk az / usr / bin / tbl parancsot. Kiválaszthatjuk, hogy a / usr / bin / tbl örökölje-e az / usr / bin / man biztonsági beállításait, függetlenül attól, hogy a saját AppArmor profiljával kell-e futnia, vagy nem konfigurált módban kell futtatnia.

    Néhány más műveletnél különböző utasítások láthatók - itt engedélyezzük a hozzáférést a / dev / tty-hez, egy olyan eszközhöz, amely a terminált képviseli

    A folyamat végén megjelenik az új AppArmor profil mentése.

    Engedélyezési és engedélyezési mód engedélyezése

    A profil létrehozása után helyezze azt „panaszkodó módba”, ahol az AppArmor nem korlátozza az általa megteendő műveleteket, hanem minden egyéb korlátozást naplóz.

    sudo aa-sūdzing / path / to / binary

    Használja a programot általában egy ideig. Miután rendszeresen használta a panaszos módban, futtassa a következő parancsot a rendszer naplóinak hibáinak szkenneléséhez és a profil frissítéséhez:

    sudo aa-logprof

    Az Enforce mód használata az alkalmazás leállításához

    Miután befejezte az AppArmor profil finomhangolását, engedélyezze az „érvényesítési mód” alkalmazást az alkalmazás lezárásához:

    sudo aa-enforce / path / to / binary

    Lehet, hogy futtatni szeretné a sudo aa-logprof parancsot ad a jövőben a profilod csípésére.


    Az AppArmor profilok egyszerű szöveges fájlok, így azok szövegszerkesztőben nyithatók meg, és kézzel is csíphetők. A fenti segédprogramok azonban végigvezeti Önt a folyamaton.