Startpagina » hoe » AppArmor-profielen maken om programma's op Ubuntu te vergrendelen

    AppArmor-profielen maken om programma's op Ubuntu te vergrendelen

    AppArmor vergrendelt programma's op uw Ubuntu-systeem, waardoor ze alleen de permissies hebben die ze nodig hebben bij normaal gebruik - met name nuttig voor serversoftware die mogelijk in gevaar komt. AppArmor bevat eenvoudige hulpmiddelen die u kunt gebruiken om andere toepassingen te vergrendelen.

    AppArmor wordt standaard opgenomen in Ubuntu en enkele andere Linux-distributies. Ubuntu verzendt AppArmor met verschillende profielen, maar u kunt ook uw eigen AppArmor-profielen maken. AppArmor's hulpprogramma's kunnen de uitvoering van een programma controleren en u helpen bij het maken van een profiel.

    Voordat u uw eigen profiel voor een toepassing maakt, kunt u het apparmor-profiles-pakket in de repositories van Ubuntu controleren om te zien of er al een profiel bestaat voor de toepassing die u wilt beperken.

    Maak en voer een testplan uit

    U moet het programma uitvoeren terwijl AppArmor het bekijkt en alle normale functies doorloopt. Kortom, je zou het programma moeten gebruiken zoals het zou worden gebruikt bij normaal gebruik: start het programma, stop het, laad het opnieuw en gebruik alle functies ervan. U moet een testplan ontwerpen dat de functies doorloopt die het programma moet uitvoeren.

    Voordat u uw testplan doorloopt, start u een terminal en voert u de volgende opdrachten uit om aa-genprof te installeren en uit te voeren:

    sudo apt-get install apparmor-utils

    sudo aa-genprof / path / to / binary

    Laat aa-genprof in de terminal lopen, start het programma en doorloop het testplan dat u hierboven hebt ontworpen. Hoe uitgebreider uw testplan, hoe minder problemen u later zult tegenkomen.

    Nadat u klaar bent met het uitvoeren van uw testplan, keert u terug naar de terminal en drukt u op S toets om het systeemlogboek voor AppArmor-gebeurtenissen te scannen.

    Voor elke gebeurtenis wordt u gevraagd om een ​​actie te kiezen. We kunnen hieronder bijvoorbeeld zien dat / usr / bin / man, die we hebben geprofileerd, uitgevoerd / usr / bin / tbl. We kunnen selecteren of / usr / bin / tbl de / usr / bin / man-beveiligingsinstellingen moet overnemen, of deze met een eigen AppArmor-profiel moet worden uitgevoerd of dat deze in de onbegrensde modus moet worden uitgevoerd.

    Voor sommige andere acties ziet u verschillende aanwijzingen - hier geven we toegang tot / dev / tty, een apparaat dat de terminal vertegenwoordigt

    Aan het einde van het proces wordt u gevraagd om uw nieuwe AppArmor-profiel op te slaan.

    Klachtmodus inschakelen en het profiel aanpassen

    Nadat u het profiel hebt gemaakt, plaatst u het in de "complain-modus", waarbij AppArmor de acties die het kan ondernemen niet beperkt, maar in plaats daarvan beperkingen registreert die anders zouden optreden:

    sudo aa-complain / path / to / binary

    Gebruik het programma normaal voor een tijdje. Nadat u het normaal hebt gebruikt in de klagende modus, voert u de volgende opdracht uit om uw systeemlogboeken te scannen op fouten en het profiel bij te werken:

    sudo aa-logprof

    De Enforce-modus gebruiken om de applicatie te vergrendelen

    Nadat u klaar bent met het afstemmen van uw AppArmor-profiel, schakelt u de "afdwingmodus" in om de toepassing te vergrendelen:

    sudo aa-enforce / path / to / binary

    Misschien wilt u de sudo aa-logprof opdracht om in de toekomst je profiel aan te passen.

    AppArmor-profielen zijn platte tekstbestanden, dus u kunt ze openen in een teksteditor en ze handmatig aanpassen. De hulpprogramma's hierboven leiden u echter eerst door het proces.

    Hoe maak je opstartbare USB-drives en SD-kaarten voor elk besturingssysteem
    Catalogus aanmaken met Prijsaanvraag met WooCommerce
    Animaties en overgangen maken met Motion UI
    Volgend artikel
    Hoe maak ik automatische afspeellijsten aan in Windows Media Player 12
    Vorig artikel
    Animaties maken met uw Philips Hue Lights