Bagaimana Membuat Profil AppArmor untuk Mengunci Program di Ubuntu
AppArmor mengunci program pada sistem Ubuntu anda, membenarkan mereka hanya keizinan yang mereka perlukan dalam penggunaan biasa - khususnya berguna untuk perisian pelayan yang mungkin menjadi terjejas. AppArmor termasuk alat mudah yang boleh anda gunakan untuk mengunci aplikasi lain.
AppArmor disertakan secara lalai di Ubuntu dan beberapa pengedaran Linux yang lain. Ubuntu mengangkut AppArmor dengan beberapa profil, tetapi anda juga boleh membuat profil AppArmor anda sendiri. Utiliti AppArmor boleh memantau pelaksanaan program dan membantu anda membuat profil.
Sebelum membuat profil anda sendiri untuk aplikasi, anda mungkin ingin menyemak pakej profil aplikasi di dalam repositori Ubuntu untuk melihat sama ada profil untuk aplikasi yang ingin anda hadkan sudah wujud.
Buat & Menjalankan Pelan Ujian
Anda perlu menjalankan program semasa AppArmor memerhatikannya dan berjalan melalui semua fungsi normalnya. Pada asasnya, anda harus menggunakan program ini kerana ia akan digunakan dalam penggunaan biasa: mulailah program, menghentikannya, muat semula, dan gunakan semua ciri-cirinya. Anda harus merancang rancangan ujian yang melalui fungsi yang perlu dilakukan oleh program.
Sebelum menjalankan pelan ujian anda, lancarkan terminal dan jalankan arahan berikut untuk memasang dan jalankan aa-genprof:
sudo apt-get memasang apparmor-utils
sudo aa-genprof / path / to / binary
Tinggalkan aa-genprof berjalan di terminal, mulailah program ini, dan jalankan melalui rancangan ujian yang anda buat di atas. Pelan ujian yang lebih komprehensif, semakin kurang masalah yang akan anda jalani nanti.
Setelah selesai melaksanakan pelan ujian anda, kembali ke terminal dan tekan S kunci untuk mengimbas log sistem untuk acara AppArmor.
Untuk setiap acara, anda akan diminta untuk memilih tindakan. Sebagai contoh, di bawah, kita dapat melihat bahawa / usr / bin / man, yang kita profilkan, dilaksanakan / usr / bin / tbl. Kita boleh memilih sama ada / usr / bin / tbl harus mewarisi tetapan keselamatan / usr / bin / man, sama ada ia harus dijalankan dengan profil AppArmor sendiri, atau sama ada ia harus dijalankan dalam mod yang tidak terkonfigurasi.
Untuk beberapa tindakan lain, anda akan melihat arahan yang berbeza - di sini kita membenarkan akses ke / dev / tty, peranti yang mewakili terminal
Pada akhir proses, anda akan diminta untuk menyimpan profil AppArmor anda yang baru.
Mendayakan Mod Mengadu & Tweaking Profil
Selepas membuat profil, letakkannya dalam "mod pengadu", di mana AppArmor tidak menyekat tindakan yang boleh diambil tetapi sebaliknya log semua sekatan yang mungkin berlaku:
sudo aa-complain / path / to / binary
Gunakan program ini untuk seketika. Setelah menggunakannya secara normal dalam mod pengadu, jalankan perintah berikut untuk mengimbas log sistem anda untuk ralat dan kemas kini profil:
sudo aa-logprof
Menggunakan Mod Kuasa untuk Mengunci Aplikasi
Setelah selesai menyempurnakan profil AppArmor anda, dayakan "mod penguatkuasaan" untuk mengunci aplikasi:
sudo aa-enforce / path / to / binary
Anda mungkin mahu menjalankan sudo aa-logprof perintah pada masa akan datang untuk menapis profil anda.
Profil AppArmor adalah fail teks biasa, jadi anda boleh membukanya dalam editor teks dan tweaknya dengan tangan. Walau bagaimanapun, utiliti di atas membimbing anda melalui proses tersebut.