Mājas lapa » » Kā izveidot AppArmor profilus, lai bloķētu programmas Ubuntu

    Kā izveidot AppArmor profilus, lai bloķētu programmas Ubuntu

    AppArmor bloķē programmas jūsu Ubuntu sistēmā, ļaujot tām izmantot tikai tās tiesības, kas tām nepieciešamas normālā lietošanā - īpaši noderīgas serveru programmatūrai, kas var kļūt apdraudēta. AppArmor ietver vienkāršus rīkus, ko var izmantot, lai bloķētu citas programmas.

    AppArmor ir iekļauts pēc noklusējuma Ubuntu un dažos citos Linux sadalījumos. Ubuntu nosūta AppArmor ar vairākiem profiliem, bet jūs varat izveidot arī savus AppArmor profilus. AppArmor komunālie pakalpojumi var uzraudzīt programmas izpildi un palīdzēt izveidot profilu.

    Pirms sava profila izveides lietojumprogrammai, iespējams, vēlēsities pārbaudīt pakotni apparmor-profili Ubuntu krātuvēs, lai redzētu, vai jau esošās lietojumprogrammas profils jau pastāv.

    Izveidot un izpildīt testa plānu

    Jums būs nepieciešams palaist programmu, kamēr AppArmor to skatās un iet cauri visām parastajām funkcijām. Būtībā, jums vajadzētu izmantot programmu, kā to izmantotu parastā lietošanā: startējiet programmu, apturiet to, ielādējiet to un izmantojiet visas tās funkcijas. Jums ir jāizstrādā testa plāns, kas iet cauri funkcijām, kuras programmai ir jāveic.

    Pirms palaižat savu testa plānu, palaidiet termināli un palaidiet šādas komandas, lai instalētu un palaist aa-genprof:

    sudo apt-get instalēt apparmor-utils

    sudo aa-genprof / ceļš / uz / binārs

    Atstājiet aa-genprof, kas darbojas terminālā, startējiet programmu un palaidiet iepriekš izstrādātajā testa plānā. Jo plašāks ir jūsu pārbaudes plāns, jo mazāk problēmu nokļūsiet vēlāk.

    Kad esat pabeidzis pārbaudes plāna izpildi, atgriezieties terminālī un nospiediet S taustiņu, lai skenētu sistēmas žurnālu AppArmor notikumiem.

    Katram notikumam tiks piedāvāts izvēlēties darbību. Piemēram, zemāk mēs redzam, ka / usr / bin / man, ko mēs profilējām, izpildīja / usr / bin / tbl. Mēs varam izvēlēties, vai / usr / bin / tbl vajadzētu mantot / usr / bin / man drošības iestatījumus, neatkarīgi no tā, vai tai vajadzētu darboties ar savu AppArmor profilu, vai arī tai būtu jādarbojas nesaskaņotā režīmā.

    Dažām citām darbībām jūs redzēsiet dažādus norādījumus - šeit mēs varam piekļūt / dev / tty, ierīcei, kas pārstāv termināli

    Procesa beigās jums tiks piedāvāts saglabāt savu jauno AppArmor profilu.

    Ieslēgšanas režīma iespējošana un profila mainīšana

    Pēc profila izveidošanas ievietojiet to „sūdzības režīmā”, kur AppArmor neierobežo darbības, ko tā var veikt, bet gan reģistrē jebkādus ierobežojumus, kas citādi rastos:

    sudo aa-sūdzēties / ceļš / uz / binārs

    Izmantojiet programmu parasti uz brīdi. Pēc tam, kad to parasti izmantojat sūdzību režīmā, palaidiet šādu komandu, lai skenētu sistēmas žurnālus, lai kļūdas un atjauninātu profilu:

    sudo aa-logprof

    Lietošanas režīma izmantošana, lai bloķētu lietojumprogrammu

    Pēc tam, kad esat pabeidzis AppArmor profila precizēšanu, iespējojiet “enforc mode”, lai bloķētu lietojumprogrammu:

    sudo aa-enforce / path / to / binary

    Jūs varat palaist sudo aa-logprof komandu nākotnē izmainīt savu profilu.


    AppArmor profili ir vienkārša teksta faili, lai jūs varētu tos atvērt teksta redaktorā un izmainīt tos ar rokām. Tomēr iepriekš minētie komunālie pakalpojumi palīdz jums caur procesu.