Πώς να δημιουργήσετε τα προφίλ AppArmor για να κλειδώσετε τα προγράμματα στο Ubuntu
Το AppArmor κλειδώνει προγράμματα στο Ubuntu σας, επιτρέποντάς τους μόνο τα δικαιώματα που χρειάζονται σε κανονική χρήση - ιδιαίτερα χρήσιμα για λογισμικό διακομιστή που μπορεί να καταστραφεί. Το AppArmor περιλαμβάνει απλά εργαλεία που μπορείτε να χρησιμοποιήσετε για να κλειδώσετε άλλες εφαρμογές.
Το AppArmor περιλαμβάνεται εξ ορισμού στο Ubuntu και σε ορισμένες άλλες διανομές του Linux. Το Ubuntu φέρει AppArmor με διάφορα προφίλ, αλλά μπορείτε επίσης να δημιουργήσετε τα δικά σας προφίλ AppArmor. Τα βοηθητικά προγράμματα της AppArmor μπορούν να παρακολουθήσουν την εκτέλεση ενός προγράμματος και να σας βοηθήσουν να δημιουργήσετε ένα προφίλ.
Πριν δημιουργήσετε το δικό σας προφίλ για μια εφαρμογή, ίσως θελήσετε να ελέγξετε το πακέτο apparmor-profiles στα αποθετήρια του Ubuntu για να δείτε εάν υπάρχει ήδη ένα προφίλ για την εφαρμογή που θέλετε να περιορίσετε.
Δημιουργία & εκτέλεση ενός σχεδίου δοκιμής
Θα χρειαστεί να εκτελέσετε το πρόγραμμα ενώ το AppArmor το παρακολουθεί και να περπατήσει μέσα από όλες τις κανονικές λειτουργίες του. Βασικά, θα πρέπει να χρησιμοποιήσετε το πρόγραμμα όπως θα χρησιμοποιηθεί σε κανονική χρήση: ξεκινήστε το πρόγραμμα, σταματήστε, επανατοποθετήστε και χρησιμοποιήστε όλες τις δυνατότητές του. Θα πρέπει να σχεδιάσετε ένα σχέδιο δοκιμών που να περνάει από τις λειτουργίες που πρέπει να εκτελέσει το πρόγραμμα.
Πριν εκτελέσετε το σχέδιο δοκιμής σας, ξεκινήστε ένα τερματικό και εκτελέστε τις ακόλουθες εντολές για να εγκαταστήσετε και να εκτελέσετε aa-genprof:
sudo apt-get εγκαταστήσετε apparmor-utils
sudo aa-genprof / διαδρομή / προς / δυαδικό
Αφήστε το aa-genprof να τρέξει στο τερματικό, να ξεκινήσει το πρόγραμμα και να τρέξει μέσα από το σχέδιο δοκιμής που σχεδιάσατε παραπάνω. Όσο πιο εκτεταμένο είναι το σχέδιο δοκιμής σας, τόσο λιγότερα προβλήματα θα αντιμετωπίσετε αργότερα.
Αφού ολοκληρώσετε την εκτέλεση του σχεδίου δοκιμής, επιστρέψτε στο τερματικό και πατήστε το μικρό κλειδί για τη σάρωση του αρχείου καταγραφής συστήματος για συμβάντα AppArmor.
Για κάθε συμβάν, θα σας ζητηθεί να επιλέξετε μια ενέργεια. Για παράδειγμα, παρακάτω μπορούμε να δούμε ότι ο / usr / bin / man, τον οποίο διαμορφώσαμε, εκτελέστηκε / usr / bin / tbl. Μπορούμε να επιλέξουμε αν / usr / bin / tbl θα πρέπει να κληρονομήσει τις ρυθμίσεις ασφαλείας του / usr / bin / man, αν θα έπρεπε να τρέχει με το δικό του προφίλ AppArmor ή αν πρέπει να τρέχει σε απεριόριστη λειτουργία.
Για κάποιες άλλες ενέργειες, θα δείτε διαφορετικές υποδείξεις - εδώ επιτρέπουμε την πρόσβαση στο / dev / tty, μια συσκευή που αντιπροσωπεύει τον τερματικό
Στο τέλος της διαδικασίας, θα σας ζητηθεί να αποθηκεύσετε το νέο σας προφίλ AppArmor.
Ενεργοποίηση της λειτουργίας καταγγελίας και βελτιστοποίηση του προφίλ
Αφού δημιουργήσετε το προφίλ, τοποθετήστε το σε κατάσταση "διαμαρτυρίας", όπου το AppArmor δεν περιορίζει τις ενέργειες που μπορεί να πάρει αλλά αντίθετα καταγράφει τυχόν περιορισμούς που διαφορετικά θα προέκυπταν:
sudo αα-διαμαρτύρονται / διαδρομή / προς / δυαδικό
Χρησιμοποιήστε το πρόγραμμα κανονικά για λίγο. Αφού το χρησιμοποιήσετε κανονικά σε κατάσταση παραπόνων, εκτελέστε την ακόλουθη εντολή για να σαρώσετε τα αρχεία καταγραφής του συστήματος σας για σφάλματα και να ενημερώσετε το προφίλ:
sudo aa-logprof
Χρησιμοποιώντας τη λειτουργία επιβολής για να κλειδώσετε την εφαρμογή
Αφού ολοκληρώσετε την τελειοποίηση του προφίλ AppArmor, ενεργοποιήστε τη λειτουργία "επιβολή" για να κλειδώσετε την εφαρμογή:
sudo aa-enforce / μονοπάτι / προς / δυαδικό
Μπορεί να θέλετε να εκτελέσετε το sudo aa-logprof εντολή στο μέλλον να τροποποιήσετε το προφίλ σας.
Τα προφίλ AppArmor είναι αρχεία απλού κειμένου, ώστε να μπορείτε να τα ανοίξετε σε ένα πρόγραμμα επεξεργασίας κειμένου και να τα τροποποιήσετε με το χέρι. Ωστόσο, οι βοηθητικές εφαρμογές παραπάνω σας καθοδηγούν στη διαδικασία.
