Domovská » jak » Jak vytvořit profily AppArmor pro uzamčení programů v Ubuntu

    Jak vytvořit profily AppArmor pro uzamčení programů v Ubuntu

    AppArmor uzamkne programy v systému Ubuntu a umožní jim pouze oprávnění, která vyžadují při běžném používání, což je obzvláště užitečné pro serverový software, který může být ohrožen. AppArmor obsahuje jednoduché nástroje, které můžete použít k uzamčení dalších aplikací.

    AppArmor je ve výchozím nastavení součástí Ubuntu a některých dalších distribucí Linuxu. Ubuntu dodává AppArmor několik profilů, ale můžete si také vytvořit vlastní AppArmor profily. Aplikace AppArmor mohou sledovat provádění programu a pomáhat vám vytvořit profil.

    Než vytvoříte svůj vlastní profil aplikace, můžete si prohlédnout balíček apparmor-profiles v úložištích Ubuntu, abyste zjistili, zda již existuje profil pro aplikaci, kterou chcete omezit.

    Vytvoření a spuštění testovacího plánu

    Budete muset spustit program, zatímco AppArmor ji sleduje a prochází všemi normálními funkcemi. V zásadě byste měli používat program tak, jak by ho používali při běžném používání: spuštění programu, jeho zastavení, opětovné načtení a používání všech jeho funkcí. Měli byste navrhnout plán testů, který prochází funkcemi, které musí program provádět.

    Před spuštěním testovacího plánu spusťte terminál a spusťte následující příkazy pro instalaci a spuštění aa-genprof:

    sudo apt-get nainstalovat apparmor-utils

    sudo aa-genprof / cesta / do / binární

    Ponechejte aa-genprof v terminálu, spusťte program a spusťte plán testování, který jste navrhli výše. Čím komplexnější bude váš testovací plán, tím méně problémů se objeví později.

    Po dokončení testovacího plánu se vrátíte do terminálu a stiskněte tlačítko S klíč pro skenování systémového protokolu událostí AppArmor.

    U každé události budete vyzváni k výběru akce. Například níže vidíme, že / usr / bin / man, který jsme profilovali, provedli / usr / bin / tbl. Můžeme zvolit, zda by / usr / bin / tbl měl dědit bezpečnostní nastavení uživatele / usr / bin / man, ať už by měl fungovat s vlastním profilem AppArmor, nebo zda by měl běžet v neomezeném režimu.

    U některých dalších akcí se zobrazí různé výzvy - zde povolujeme přístup k / dev / tty, zařízení, které představuje terminál

    Na konci procesu budete vyzváni k uložení nového profilu AppArmor.

    Povolení režimu Complain a vylepšení profilu

    Po vytvoření profilu vložte jej do režimu "stížností", kde AppArmor neomezuje akce, které může trvat, ale zaznamenává případná omezení, která by jinak nastala:

    sudo aa-stížnost / cesta / do / binární

    Obvykle použijte program. Po použití normálně v režimu stížnosti spusťte následující příkaz pro kontrolu systémových protokolů o chybách a aktualizaci profilu:

    sudo aa-logprof

    Použití režimu vynutí pro uzamčení aplikace

    Po dokončení jemného ladění profilu aplikace AppArmor povolte režim "vynutit", aby aplikace uzamkla:

    sudo aa-enforce / cesta / do / binární

    Možná budete chtít spustit sudo aa-logprof v budoucnu, abyste svůj profil vyladili.


    Profily aplikace AppArmor jsou soubory prostého textu, takže je můžete otevřít v textovém editoru a vyladit je ručně. Ovšem výše popsané nástroje vás vedou procesem.