Startpagina » hoe » AppArmor-profielen maken om programma's op Ubuntu te vergrendelen

    AppArmor-profielen maken om programma's op Ubuntu te vergrendelen

    AppArmor vergrendelt programma's op uw Ubuntu-systeem, waardoor ze alleen de permissies hebben die ze nodig hebben bij normaal gebruik - met name nuttig voor serversoftware die mogelijk in gevaar komt. AppArmor bevat eenvoudige hulpmiddelen die u kunt gebruiken om andere toepassingen te vergrendelen.

    AppArmor wordt standaard opgenomen in Ubuntu en enkele andere Linux-distributies. Ubuntu verzendt AppArmor met verschillende profielen, maar u kunt ook uw eigen AppArmor-profielen maken. AppArmor's hulpprogramma's kunnen de uitvoering van een programma controleren en u helpen bij het maken van een profiel.

    Voordat u uw eigen profiel voor een toepassing maakt, kunt u het apparmor-profiles-pakket in de repositories van Ubuntu controleren om te zien of er al een profiel bestaat voor de toepassing die u wilt beperken.

    Maak en voer een testplan uit

    U moet het programma uitvoeren terwijl AppArmor het bekijkt en alle normale functies doorloopt. Kortom, je zou het programma moeten gebruiken zoals het zou worden gebruikt bij normaal gebruik: start het programma, stop het, laad het opnieuw en gebruik alle functies ervan. U moet een testplan ontwerpen dat de functies doorloopt die het programma moet uitvoeren.

    Voordat u uw testplan doorloopt, start u een terminal en voert u de volgende opdrachten uit om aa-genprof te installeren en uit te voeren:

    sudo apt-get install apparmor-utils

    sudo aa-genprof / path / to / binary

    Laat aa-genprof in de terminal lopen, start het programma en doorloop het testplan dat u hierboven hebt ontworpen. Hoe uitgebreider uw testplan, hoe minder problemen u later zult tegenkomen.

    Nadat u klaar bent met het uitvoeren van uw testplan, keert u terug naar de terminal en drukt u op S toets om het systeemlogboek voor AppArmor-gebeurtenissen te scannen.

    Voor elke gebeurtenis wordt u gevraagd om een ​​actie te kiezen. We kunnen hieronder bijvoorbeeld zien dat / usr / bin / man, die we hebben geprofileerd, uitgevoerd / usr / bin / tbl. We kunnen selecteren of / usr / bin / tbl de / usr / bin / man-beveiligingsinstellingen moet overnemen, of deze met een eigen AppArmor-profiel moet worden uitgevoerd of dat deze in de onbegrensde modus moet worden uitgevoerd.

    Voor sommige andere acties ziet u verschillende aanwijzingen - hier geven we toegang tot / dev / tty, een apparaat dat de terminal vertegenwoordigt

    Aan het einde van het proces wordt u gevraagd om uw nieuwe AppArmor-profiel op te slaan.

    Klachtmodus inschakelen en het profiel aanpassen

    Nadat u het profiel hebt gemaakt, plaatst u het in de "complain-modus", waarbij AppArmor de acties die het kan ondernemen niet beperkt, maar in plaats daarvan beperkingen registreert die anders zouden optreden:

    sudo aa-complain / path / to / binary

    Gebruik het programma normaal voor een tijdje. Nadat u het normaal hebt gebruikt in de klagende modus, voert u de volgende opdracht uit om uw systeemlogboeken te scannen op fouten en het profiel bij te werken:

    sudo aa-logprof

    De Enforce-modus gebruiken om de applicatie te vergrendelen

    Nadat u klaar bent met het afstemmen van uw AppArmor-profiel, schakelt u de "afdwingmodus" in om de toepassing te vergrendelen:

    sudo aa-enforce / path / to / binary

    Misschien wilt u de sudo aa-logprof opdracht om in de toekomst je profiel aan te passen.


    AppArmor-profielen zijn platte tekstbestanden, dus u kunt ze openen in een teksteditor en ze handmatig aanpassen. De hulpprogramma's hierboven leiden u echter eerst door het proces.