If-Koubou

Kā izveidot AppArmor profilus, lai bloķētu programmas Ubuntu

Kā izveidot AppArmor profilus, lai bloķētu programmas Ubuntu (Kā)

AppArmor nobloķē jūsu Ubuntu sistēmas programmas, ļaujot tām piekļūt tikai normālai izmantošanai - īpaši noderīga servera programmatūrai, kas var tikt apdraudēta. AppArmor ietver vienkāršus rīkus, kurus varat izmantot citu lietojumprogrammu bloķēšanai.

AppArmor pēc noklusējuma ir iekļauts Ubuntu un citos Linux sadalījumos. Ubuntu kuģo AppArmor ar vairākiem profiliem, taču jūs varat arī izveidot savus AppArmor profilus. AppArmor komunālie pakalpojumi var pārraudzīt programmas izpildi un palīdzēt izveidot profilu.

Pirms izveidojat sava lietotāja profilu lietojumprogrammai, jūs, iespējams, vēlēsities pārbaudīt apparmor profilu paketi Ubuntu krātuvēs, lai redzētu, vai jau esošs lietojumprogrammas profils ir ierobežots.

Izveidot un vadīt pārbaudes plānu

Jums vajadzēs palaist programmu, kamēr AppArmor to skato un izpildīs visas savas parastās funkcijas. Būtībā programma jāizmanto tā, kā to lietotu parastajā lietošanā: palaidiet programmu, apturiet to, atkārtoti ielādējiet to un izmantojiet visas tās funkcijas. Jums vajadzētu izstrādāt pārbaudes plānu, kas iet caur funkcijām, kas programmai jāveic.

Pirms testa plāna izpildes palaidiet termināli un palaidiet šādas komandas, lai instalētu un palaistu aa-genprof:

sudo apt-get instalēt apparmor-utils

sudo aa-genprof / path / to / binārs

Atstājiet terminālu aa-genprof, palaidiet programmu un palaidiet iepriekš aprakstīto pārbaudes plānu. Jo visaptverošāks ir jūsu pārbaudes plāns, jo mazāk problēmu jūs izmantosiet vēlāk.

Kad esat beidzis testa plāna izpildi, atgriezieties pie termināla un nospiediet S atslēga, lai skenētu sistēmas žurnālu AppArmor notikumiem.

Par katru notikumu jums tiks piedāvāts izvēlēties darbību. Piemēram, mēs varam redzēt, ka / usr / bin / man, kuru mēs profilējām, izpildīts / usr / bin / tbl. Mēs varam izvēlēties, vai / usr / bin / tbl vajadzētu mantot / usr / bin / man drošības iestatījumus neatkarīgi no tā, vai tai vajadzētu palaist ar savu AppArmor profilu, vai arī tas jādarbina nekonfigurētā režīmā.

Dažām citām darbībām būs redzamas dažādas uzvednes - šeit mēs ļaujam piekļūt / dev / tty - ierīcei, kas pārstāv termināli

Procesa beigās jums tiks piedāvāts saglabāt savu jauno AppArmor profilu.

Iespējot sūdzību režīmu un profila uzlabošanu

Pēc profila izveidošanas ievietojiet to "sūdzību režīmā", kur AppArmor neierobežo darbības, kuras tā var veikt, bet gan reģistrē visus ierobežojumus, kas citādi varētu rasties:

sudo aa-sūdzība / ceļš / uz / binārs

Programmu parasti izmanto kādu laiku. Pēc tam, kad to parasti izmantojat sūdzību režīmā, palaidiet šādu komandu, lai skenētu sistēmas žurnālus par kļūdām un atjauninātu profilu:

sudo aa-logprof

Izmantojot Enforcing režīmu, lai bloķētu lietojumprogrammu

Kad esat pabeidzis precīzi pielāgot savu AppArmor profilu, iespējojiet "piespiedu režīmu", lai bloķētu lietojumprogrammu:

sudo aa-enforce / path / to / binārs

Jūs varētu vēlēties palaist sudo aa-logprof komanda nākotnē kniebiens jūsu profilu.

AppArmor profili ir vienkāršie teksta faili, tāpēc tos varat atvērt teksta redaktorā un pielāgot tos rokām. Tomēr iepriekš minētie komunālie pakalpojumi palīdz jums caur procesu.