Laman » bagaimana untuk » Bagaimana Membuat Profil AppArmor untuk Mengunci Program di Ubuntu

    Bagaimana Membuat Profil AppArmor untuk Mengunci Program di Ubuntu

    AppArmor mengunci program pada sistem Ubuntu anda, membenarkan mereka hanya keizinan yang mereka perlukan dalam penggunaan biasa - khususnya berguna untuk perisian pelayan yang mungkin menjadi terjejas. AppArmor termasuk alat mudah yang boleh anda gunakan untuk mengunci aplikasi lain.

    AppArmor disertakan secara lalai di Ubuntu dan beberapa pengedaran Linux yang lain. Ubuntu mengangkut AppArmor dengan beberapa profil, tetapi anda juga boleh membuat profil AppArmor anda sendiri. Utiliti AppArmor boleh memantau pelaksanaan program dan membantu anda membuat profil.

    Sebelum membuat profil anda sendiri untuk aplikasi, anda mungkin ingin menyemak pakej profil aplikasi di dalam repositori Ubuntu untuk melihat sama ada profil untuk aplikasi yang ingin anda hadkan sudah wujud.

    Buat & Menjalankan Pelan Ujian

    Anda perlu menjalankan program semasa AppArmor memerhatikannya dan berjalan melalui semua fungsi normalnya. Pada asasnya, anda harus menggunakan program ini kerana ia akan digunakan dalam penggunaan biasa: mulailah program, menghentikannya, muat semula, dan gunakan semua ciri-cirinya. Anda harus merancang rancangan ujian yang melalui fungsi yang perlu dilakukan oleh program.

    Sebelum menjalankan pelan ujian anda, lancarkan terminal dan jalankan arahan berikut untuk memasang dan jalankan aa-genprof:

    sudo apt-get memasang apparmor-utils

    sudo aa-genprof / path / to / binary

    Tinggalkan aa-genprof berjalan di terminal, mulailah program ini, dan jalankan melalui rancangan ujian yang anda buat di atas. Pelan ujian yang lebih komprehensif, semakin kurang masalah yang akan anda jalani nanti.

    Setelah selesai melaksanakan pelan ujian anda, kembali ke terminal dan tekan S kunci untuk mengimbas log sistem untuk acara AppArmor.

    Untuk setiap acara, anda akan diminta untuk memilih tindakan. Sebagai contoh, di bawah, kita dapat melihat bahawa / usr / bin / man, yang kita profilkan, dilaksanakan / usr / bin / tbl. Kita boleh memilih sama ada / usr / bin / tbl harus mewarisi tetapan keselamatan / usr / bin / man, sama ada ia harus dijalankan dengan profil AppArmor sendiri, atau sama ada ia harus dijalankan dalam mod yang tidak terkonfigurasi.

    Untuk beberapa tindakan lain, anda akan melihat arahan yang berbeza - di sini kita membenarkan akses ke / dev / tty, peranti yang mewakili terminal

    Pada akhir proses, anda akan diminta untuk menyimpan profil AppArmor anda yang baru.

    Mendayakan Mod Mengadu & Tweaking Profil

    Selepas membuat profil, letakkannya dalam "mod pengadu", di mana AppArmor tidak menyekat tindakan yang boleh diambil tetapi sebaliknya log semua sekatan yang mungkin berlaku:

    sudo aa-complain / path / to / binary

    Gunakan program ini untuk seketika. Setelah menggunakannya secara normal dalam mod pengadu, jalankan perintah berikut untuk mengimbas log sistem anda untuk ralat dan kemas kini profil:

    sudo aa-logprof

    Menggunakan Mod Kuasa untuk Mengunci Aplikasi

    Setelah selesai menyempurnakan profil AppArmor anda, dayakan "mod penguatkuasaan" untuk mengunci aplikasi:

    sudo aa-enforce / path / to / binary

    Anda mungkin mahu menjalankan sudo aa-logprof perintah pada masa akan datang untuk menapis profil anda.


    Profil AppArmor adalah fail teks biasa, jadi anda boleh membukanya dalam editor teks dan tweaknya dengan tangan. Walau bagaimanapun, utiliti di atas membimbing anda melalui proses tersebut.