AppArmor-profielen maken om programma's op Ubuntu te vergrendelen
AppArmor vergrendelt programma's op uw Ubuntu-systeem, waardoor ze alleen de permissies hebben die ze nodig hebben bij normaal gebruik - met name nuttig voor serversoftware die mogelijk in gevaar komt. AppArmor bevat eenvoudige hulpmiddelen die u kunt gebruiken om andere toepassingen te vergrendelen.
AppArmor wordt standaard opgenomen in Ubuntu en enkele andere Linux-distributies. Ubuntu verzendt AppArmor met verschillende profielen, maar u kunt ook uw eigen AppArmor-profielen maken. AppArmor's hulpprogramma's kunnen de uitvoering van een programma controleren en u helpen bij het maken van een profiel.
Voordat u uw eigen profiel voor een toepassing maakt, kunt u het apparmor-profiles-pakket in de repositories van Ubuntu controleren om te zien of er al een profiel bestaat voor de toepassing die u wilt beperken.
Maak en voer een testplan uit
U moet het programma uitvoeren terwijl AppArmor het bekijkt en alle normale functies doorloopt. Kortom, je zou het programma moeten gebruiken zoals het zou worden gebruikt bij normaal gebruik: start het programma, stop het, laad het opnieuw en gebruik alle functies ervan. U moet een testplan ontwerpen dat de functies doorloopt die het programma moet uitvoeren.
Voordat u uw testplan doorloopt, start u een terminal en voert u de volgende opdrachten uit om aa-genprof te installeren en uit te voeren:
sudo apt-get install apparmor-utils
sudo aa-genprof / path / to / binary
Laat aa-genprof in de terminal lopen, start het programma en doorloop het testplan dat u hierboven hebt ontworpen. Hoe uitgebreider uw testplan, hoe minder problemen u later zult tegenkomen.
Nadat u klaar bent met het uitvoeren van uw testplan, keert u terug naar de terminal en drukt u op S toets om het systeemlogboek voor AppArmor-gebeurtenissen te scannen.
Voor elke gebeurtenis wordt u gevraagd om een actie te kiezen. We kunnen hieronder bijvoorbeeld zien dat / usr / bin / man, die we hebben geprofileerd, uitgevoerd / usr / bin / tbl. We kunnen selecteren of / usr / bin / tbl de / usr / bin / man-beveiligingsinstellingen moet overnemen, of deze met een eigen AppArmor-profiel moet worden uitgevoerd of dat deze in de onbegrensde modus moet worden uitgevoerd.
Voor sommige andere acties ziet u verschillende aanwijzingen - hier geven we toegang tot / dev / tty, een apparaat dat de terminal vertegenwoordigt
Aan het einde van het proces wordt u gevraagd om uw nieuwe AppArmor-profiel op te slaan.
Klachtmodus inschakelen en het profiel aanpassen
Nadat u het profiel hebt gemaakt, plaatst u het in de "complain-modus", waarbij AppArmor de acties die het kan ondernemen niet beperkt, maar in plaats daarvan beperkingen registreert die anders zouden optreden:
sudo aa-complain / path / to / binary
Gebruik het programma normaal voor een tijdje. Nadat u het normaal hebt gebruikt in de klagende modus, voert u de volgende opdracht uit om uw systeemlogboeken te scannen op fouten en het profiel bij te werken:
sudo aa-logprof
De Enforce-modus gebruiken om de applicatie te vergrendelen
Nadat u klaar bent met het afstemmen van uw AppArmor-profiel, schakelt u de "afdwingmodus" in om de toepassing te vergrendelen:
sudo aa-enforce / path / to / binary
Misschien wilt u de sudo aa-logprof opdracht om in de toekomst je profiel aan te passen.
AppArmor-profielen zijn platte tekstbestanden, dus u kunt ze openen in een teksteditor en ze handmatig aanpassen. De hulpprogramma's hierboven leiden u echter eerst door het proces.