Sådan oprettes AppArmor-profiler for at låse programmer på Ubuntu
AppArmor låser programmer ned på dit Ubuntu-system, så de kun tillader de tilladelser, de har brug for ved normal brug - særligt nyttige til serversoftware, der kan blive kompromitteret. AppArmor indeholder enkle værktøjer, du kan bruge til at låse andre applikationer ned.
AppArmor er som standard inkluderet i Ubuntu og nogle andre Linux-distributioner. Ubuntu sender AppArmor med flere profiler, men du kan også oprette dine egne AppArmor profiler. AppArmors hjælpeprogrammer kan overvåge et programs gennemførelse og hjælpe dig med at oprette en profil.
Inden du opretter din egen profil til et program, kan du måske kontrollere apparmorprofilpakken i Ubuntu's repositorier for at se, om en profil til det program, du vil begrænse, allerede eksisterer.
Opret & Kør en testplan
Du skal køre programmet, mens AppArmor ser det og går gennem alle sine normale funktioner. Grundlæggende bør du bruge programmet som det ville blive brugt til normal brug: Start programmet, stop det, genindlæs det og brug alle dets funktioner. Du skal designe en testplan, der går gennem de funktioner, programmet skal udføre.
Før du kører gennem din testplan, skal du starte en terminal og køre følgende kommandoer for at installere og køre aa-genprof:
sudo apt-get install apparmor-utils
sudo aa-genprof / path / to / binær
Lad aa-genprof køre i terminalen, start programmet og gennemgå testplanen, du har designet ovenfor. Jo mere omfattende din testplan, desto mindre problemer vil du løbe ind senere.
Når du er færdig med at udføre din testplan, skal du vende tilbage til terminalen og trykke på S nøgle til at scanne systemloggen til AppArmor-begivenheder.
For hver begivenhed bliver du bedt om at vælge en handling. F.eks. Kan vi se, at / usr / bin / man, som vi profilerede, udført / usr / bin / tbl. Vi kan vælge om / usr / bin / tbl skal arve / usr / bin / man sikkerhedsindstillinger, om det skal køre med sin egen AppArmor-profil, eller om den skal køre i ubegrænset tilstand.
For nogle andre handlinger vil du se forskellige beskeder - her tillader vi adgang til / dev / tty, en enhed, der repræsenterer terminalen
Ved afslutningen af processen bliver du bedt om at gemme din nye AppArmor-profil.
Aktivering af klagefunktion og tweaking af profilen
Når du har oprettet profilen, skal du sætte den i "complain mode", hvor AppArmor ikke begrænser de handlinger, det kan tage, men logger i stedet for eventuelle restriktioner, der ellers ville opstå:
sudo aa-complain / path / to / binær
Brug programmet normalt et stykke tid. Efter at have brugt det normalt i klagemodus, kør følgende kommando for at scanne systemlogfilerne for fejl og opdatere profilen:
sudo aa-logprof
Brug Enforce Mode til at låse programmet ned
Når du er færdig med at finjustere din AppArmor-profil, skal du aktivere "håndhæv tilstand" for at låse programmet ned:
sudo aa-enforce / path / to / binær
Du kan måske køre sudo aa-logprof kommandoen i fremtiden for at finjustere din profil.
AppArmor-profiler er almindelig tekstfiler, så du kan åbne dem i et tekstredigeringsprogram og tilpasse dem manuelt. Men hjælpeprogrammerne ovenfor styrer dig gennem processen.