Kā izveidot AppArmor profilus, lai bloķētu programmas Ubuntu
AppArmor bloķē programmas jūsu Ubuntu sistēmā, ļaujot tām izmantot tikai tās tiesības, kas tām nepieciešamas normālā lietošanā - īpaši noderīgas serveru programmatūrai, kas var kļūt apdraudēta. AppArmor ietver vienkāršus rīkus, ko var izmantot, lai bloķētu citas programmas.
AppArmor ir iekļauts pēc noklusējuma Ubuntu un dažos citos Linux sadalījumos. Ubuntu nosūta AppArmor ar vairākiem profiliem, bet jūs varat izveidot arī savus AppArmor profilus. AppArmor komunālie pakalpojumi var uzraudzīt programmas izpildi un palīdzēt izveidot profilu.
Pirms sava profila izveides lietojumprogrammai, iespējams, vēlēsities pārbaudīt pakotni apparmor-profili Ubuntu krātuvēs, lai redzētu, vai jau esošās lietojumprogrammas profils jau pastāv.
Izveidot un izpildīt testa plānu
Jums būs nepieciešams palaist programmu, kamēr AppArmor to skatās un iet cauri visām parastajām funkcijām. Būtībā, jums vajadzētu izmantot programmu, kā to izmantotu parastā lietošanā: startējiet programmu, apturiet to, ielādējiet to un izmantojiet visas tās funkcijas. Jums ir jāizstrādā testa plāns, kas iet cauri funkcijām, kuras programmai ir jāveic.
Pirms palaižat savu testa plānu, palaidiet termināli un palaidiet šādas komandas, lai instalētu un palaist aa-genprof:
sudo apt-get instalēt apparmor-utils
sudo aa-genprof / ceļš / uz / binārs
Atstājiet aa-genprof, kas darbojas terminālā, startējiet programmu un palaidiet iepriekš izstrādātajā testa plānā. Jo plašāks ir jūsu pārbaudes plāns, jo mazāk problēmu nokļūsiet vēlāk.
Kad esat pabeidzis pārbaudes plāna izpildi, atgriezieties terminālī un nospiediet S taustiņu, lai skenētu sistēmas žurnālu AppArmor notikumiem.
Katram notikumam tiks piedāvāts izvēlēties darbību. Piemēram, zemāk mēs redzam, ka / usr / bin / man, ko mēs profilējām, izpildīja / usr / bin / tbl. Mēs varam izvēlēties, vai / usr / bin / tbl vajadzētu mantot / usr / bin / man drošības iestatījumus, neatkarīgi no tā, vai tai vajadzētu darboties ar savu AppArmor profilu, vai arī tai būtu jādarbojas nesaskaņotā režīmā.
Dažām citām darbībām jūs redzēsiet dažādus norādījumus - šeit mēs varam piekļūt / dev / tty, ierīcei, kas pārstāv termināli
Procesa beigās jums tiks piedāvāts saglabāt savu jauno AppArmor profilu.
Ieslēgšanas režīma iespējošana un profila mainīšana
Pēc profila izveidošanas ievietojiet to „sūdzības režīmā”, kur AppArmor neierobežo darbības, ko tā var veikt, bet gan reģistrē jebkādus ierobežojumus, kas citādi rastos:
sudo aa-sūdzēties / ceļš / uz / binārs
Izmantojiet programmu parasti uz brīdi. Pēc tam, kad to parasti izmantojat sūdzību režīmā, palaidiet šādu komandu, lai skenētu sistēmas žurnālus, lai kļūdas un atjauninātu profilu:
sudo aa-logprof
Lietošanas režīma izmantošana, lai bloķētu lietojumprogrammu
Pēc tam, kad esat pabeidzis AppArmor profila precizēšanu, iespējojiet “enforc mode”, lai bloķētu lietojumprogrammu:
sudo aa-enforce / path / to / binary
Jūs varat palaist sudo aa-logprof komandu nākotnē izmainīt savu profilu.
AppArmor profili ir vienkārša teksta faili, lai jūs varētu tos atvērt teksta redaktorā un izmainīt tos ar rokām. Tomēr iepriekš minētie komunālie pakalpojumi palīdz jums caur procesu.