2Jul
Az AppArmor zárolja a programokat az Ubuntu rendszerére, és csak azokat a jogosultságokat teszi lehetővé számukra, amelyeket normál használat során igényel - különösen hasznos a kiszolgálószoftverek számára, amelyek veszélybe kerülhetnek. Az AppArmor olyan egyszerű eszközöket tartalmaz, amelyekkel más alkalmazások lezárhatók. Az
Az AppArmor alapértelmezés szerint az Ubuntuban és más Linux disztribúciókban szerepel. Az Ubuntu számos profillal rendelkezik az AppArmor alkalmazással, de saját AppArmor profilokat is létrehozhat. Az AppArmor segédprogramjai nyomon követhetik a program végrehajtását, és segítenek létrehozni egy profilt.
Mielőtt létrehozna egy saját profilját egy alkalmazáshoz, érdemes ellenőriznie az apparmor-profilok csomagot az Ubuntu tárhelyei között annak megvizsgálásához, hogy a korlátozni kívánt alkalmazás profilja már létezik-e.
Hozzon létre &A tesztterv végrehajtása
Meg kell futtatnia a programot, miközben az AppArmor figyeli, és végigmegy a normál funkcióin. Alapvetően használnia kell a programot, mivel azt normál használatban fogja használni: indítsa el a programot, állítsa le, töltse be és használja az összes funkcióját. Olyan teszt tervet kell megtervezni, amely átmegy azon funkciókon, amelyeket a programnak végre kell hajtania.
Az aa-genprof telepítéséhez és futtatásához futtassa a következő parancsokat aa-genprof telepítéséhez és futtatásához:
sudo apt-get telepítése apparmor-utils
sudo aa-genprof /path/to/ bináris
Hagyja aa-genprof futását a terminálon,indítsa el a programot, és futtassa át a tervezett tervet. Minél átfogóbb a tesztterv, annál kevesebb problémát vet fel később.
A teszt terv végrehajtása után térjen vissza a terminálhoz, és nyomja meg az S billentyűt az AppArmor események rendszer naplójának ellenőrzéséhez.
Minden egyes eseményhez fel kell szólítani egy művelet kiválasztását. Például az alábbiakban látható, hogy az /usr/bin/ ember, amelyet profiloztunk, végrehajtott /usr/bin/ tbl. Kiválaszthatjuk, hogy az /usr/bin/ tbl-nek örökölnie kell-e az /usr/bin/ ember biztonsági beállításait, függetlenül attól, hogy a saját AppArmor profiljával futtatható-e, vagy pedig futatlanul kell futnia.
Néhány egyéb művelethez különböző utasításokat fog látni - itt engedélyezzük az /dev/ tty hozzáférést, az
terminálot képviselő eszközt. A folyamat végén felszólítjuk Önt, hogy mentse az új AppArmor profilt.
Engedélyező panasz mód &Profil módosítása
A profil létrehozása után "panaszkodó módba" helyezze be, ahol az AppArmor nem korlátozza az elvégzendő műveleteket, hanem minden olyan korlátozást naplóz, amely egyébként előfordulna:
sudo aa-complain /path/to/ bináris
Használja a programotegy ideig. A panaszos módban történő használat után futtassa a következő parancsot a rendszer naplóinak hibaelhárításához és a profil frissítéséhez:
sudo aa-logprof
Az alkalmazás kényszerítésének letiltása
Az AppArmor-profil finomhangolása után, engedélyezze a "enforce mode" -ot, hogy lezárja az alkalmazást:
sudo aa-enforce /path/to/ bináris
Lehet, hogy a jövőben az sudo aa-logprof parancsot futtatni kell a profil módosításához.
Az AppArmor profilok egyszerű szöveges fájlok, így szöveges szerkesztőben megnyithatják őket, és kézzel csíphetik őket. Azonban a fenti segédprogramok végigvezeti Önt a folyamaton.