Kaip sukurti „AppArmor“ profilius, kad užrakintumėte programas „Ubuntu“
„AppArmor“ užrakina programas jūsų „Ubuntu“ sistemoje, leidžiant jiems tik jiems reikalingus leidimus įprastu būdu - ypač naudinga serverio programinei įrangai, kuri gali būti pažeista. „AppArmor“ apima paprastus įrankius, kuriais galite užrakinti kitas programas.
„AppArmor“ yra įtraukta pagal nutylėjimą „Ubuntu“ ir kai kuriuose kituose „Linux“ platinimuose. „Ubuntu“ siunčia „AppArmor“ su keliais profiliais, tačiau taip pat galite sukurti savo „AppArmor“ profilius. „AppArmor“ komunalinės paslaugos gali stebėti programos vykdymą ir padėti sukurti profilį.
Prieš kurdami programą savo profiliui, galbūt norėsite patikrinti „Apparmor-profile“ paketą „Ubuntu“ saugyklose, kad pamatytumėte, ar jau sukurtos programos profilis jau yra.
Kurkite ir vykdykite bandymų planą
Turėsite paleisti programą, kol „AppArmor“ jį stebės ir vaikšto per visas įprastas funkcijas. Iš esmės, turėtumėte naudoti programą, kaip ji būtų naudojama įprastu būdu: paleiskite programą, sustabdykite ją, iš naujo įdiekite ir naudokite visas jo funkcijas. Turėtumėte sukurti bandymų planą, kuris vyktų per funkcijas, kurias turi atlikti programa.
Prieš paleisdami bandymų planą, paleiskite terminalą ir paleiskite šias komandas, kad įdiegtumėte ir paleistumėte „aa-genprof“:
sudo apt-get install apparmor-utils
sudo aa-genprof / kelias / į / dvejetainis
Palikite aa-genprof paleistį terminale, paleiskite programą ir paleiskite per anksčiau suplanuotą bandymų planą. Kuo išsamesnis jūsų bandymo planas, tuo mažiau problemų jums teks įveikti vėliau.
Baigę atlikti bandymų planą, grįžkite į terminalą ir paspauskite S klavišą, kad nuskaitytumėte sistemos žurnalą „AppArmor“ įvykiams.
Kiekvienam įvykiui bus pasiūlyta pasirinkti veiksmą. Pavyzdžiui, žemiau matome, kad / usr / bin / man, kurį profiliavome, vykdė / usr / bin / tbl. Galime pasirinkti, ar / usr / bin / tbl turėtų paveldėti / usr / bin / man saugumo parametrus, nesvarbu, ar jis turėtų veikti su savo „AppArmor“ profiliu, ar ar jis turėtų veikti nenustatytu režimu.
Kai kuriems kitiems veiksmams matysite skirtingus raginimus - čia mes suteikiame prieigą prie / dev / tty, prietaiso, atstovaujančio terminalui
Baigę procesą, būsite paraginti išsaugoti naują „AppArmor“ profilį.
Įgalinti skundo režimą ir keisti profilį
Sukūrę profilį, įdėkite jį į „skundą režimą“, kur „AppArmor“ neapriboja veiksmų, kurių gali imtis, bet užregistruoja bet kokius apribojimus, kurie kitu atveju būtų:
sudo aa-sūdzas / kelias / į / dvejetainis
Paprastai naudokite programą. Paprastai naudodamiesi skundo režimu, atlikite šią komandą, kad nuskaitytumėte sistemos žurnalus dėl klaidų ir atnaujintumėte profilį:
sudo aa-logprof
Naudojant „Enforce“ režimą, norint užrakinti programą
Baigę koreguoti „AppArmor“ profilį, įjunkite „Enforcement“ režimą, kad užrakintumėte programą:
sudo aa-enforce / path / to / binary
Galbūt norėsite paleisti sudo aa-logprof komandą ateityje keisti savo profilį.
„AppArmor“ profiliai yra paprasto teksto failai, todėl galite juos atidaryti teksto redaktoriuje ir patobulinti juos rankomis. Tačiau aukščiau pateiktos paslaugos padės jums per procesą.