Как да създадете профили на AppArmor, за да блокирате програмите на Ubuntu

AppArmor блокира програми на вашата система Ubuntu, като им позволява само разрешенията, които се изискват при нормална употреба - особено полезни за сървърния софтуер, който може да бъде компрометиран. AppArmor включва прости инструменти, които можете да използвате за заключване на други приложения.

AppArmor е включен по подразбиране в Ubuntu и някои други Linux дистрибуции. Ubuntu доставя AppArmor с няколко профила, но можете и да създадете собствени профили на AppArmor. Помощните програми на AppArmor могат да следят изпълнението на програмата и да ви помогнат да създадете профил.

Преди да създадете свой собствен профил за приложение, може да искате да проверите пакета apparmor-profiles в хранилищата на Ubuntu, за да видите дали вече съществува профил за приложението, което искате да ограничите..

Създайте и изпълнете план за тестване

Ще трябва да стартирате програмата, докато AppArmor го наблюдава и преминава през всичките си нормални функции. По принцип трябва да използвате програмата, тъй като ще се използва при нормална употреба: стартирайте програмата, спрете я, презаредете я и използвайте всички нейни функции. Трябва да проектирате план за тест, който преминава през функциите, които програмата трябва да изпълни.

Преди да изпълните плана си за тестване, стартирайте терминал и изпълнете следните команди, за да инсталирате и стартирате aa-genprof:

sudo apt-get install apparmor-utils

sudo aa-genprof / path / to / binary

Оставете aa-genprof да работи в терминала, стартирайте програмата и изпълнете плана за тестване, който сте проектирали по-горе. Колкото по-изчерпателен е вашият тестов план, толкова по-малко проблеми ще срещнете по-късно.

След като приключите с изпълнението на плана за тестване, върнете се към терминала и натиснете бутона С ключ за сканиране на системния журнал за събития AppArmor.

За всяко събитие ще бъдете подканени да изберете действие. Например, по-долу можем да видим, че / usr / bin / man, който сме профилирали, изпълни / usr / bin / tbl. Можем да изберем дали / usr / bin / tbl трябва да наследи / usr / bin / man настройките за сигурност, дали трябва да се изпълнява със собствен профил на AppArmor или да се изпълнява в неограничен режим..

За някои други действия ще видите различни подсказки - тук ние позволяваме достъп до / dev / tty, устройство, което представлява терминала

В края на процеса ще бъдете подканени да запишете новия си профил в AppArmor.

Активиране на режима на оплакване и променяне на подпрофила

След като създадете профила, поставете го в „режим на оплаквания“, където AppArmor не ограничава действията, които може да предприеме, а вместо това записва всички ограничения, които биха възникнали в противен случай:

sudo aa-complain / път / към / двоичен

Използвайте програмата нормално за известно време. След като го използвате нормално в режим жалба, изпълнете следната команда, за да сканирате системните си регистри за грешки и да актуализирате профила:

sudo aa-logprof

Използване на Enforce Mode за блокиране на приложението

След като приключите с прецизната настройка на профила си в AppArmor, активирайте „Наложи режим“, за да заключите приложението:

sudo aa-принудително / път / към / двоичен

Може да искате да стартирате sudo aa-logprof заповядайте в бъдеще да настройвате профила си.

Профилите на AppArmor са обикновени текстови файлове, така че можете да ги отворите в текстов редактор и да ги настроите ръчно. Устройствата по-горе обаче ви водят през процеса.