Начална » как да » Как да създадете профили на AppArmor, за да блокирате програмите на Ubuntu

    Как да създадете профили на AppArmor, за да блокирате програмите на Ubuntu

    AppArmor блокира програми на вашата система Ubuntu, като им позволява само разрешенията, които се изискват при нормална употреба - особено полезни за сървърния софтуер, който може да бъде компрометиран. AppArmor включва прости инструменти, които можете да използвате за заключване на други приложения.

    AppArmor е включен по подразбиране в Ubuntu и някои други Linux дистрибуции. Ubuntu доставя AppArmor с няколко профила, но можете и да създадете собствени профили на AppArmor. Помощните програми на AppArmor могат да следят изпълнението на програмата и да ви помогнат да създадете профил.

    Преди да създадете свой собствен профил за приложение, може да искате да проверите пакета apparmor-profiles в хранилищата на Ubuntu, за да видите дали вече съществува профил за приложението, което искате да ограничите..

    Създайте и изпълнете план за тестване

    Ще трябва да стартирате програмата, докато AppArmor го наблюдава и преминава през всичките си нормални функции. По принцип трябва да използвате програмата, тъй като ще се използва при нормална употреба: стартирайте програмата, спрете я, презаредете я и използвайте всички нейни функции. Трябва да проектирате план за тест, който преминава през функциите, които програмата трябва да изпълни.

    Преди да изпълните плана си за тестване, стартирайте терминал и изпълнете следните команди, за да инсталирате и стартирате aa-genprof:

    sudo apt-get install apparmor-utils

    sudo aa-genprof / path / to / binary

    Оставете aa-genprof да работи в терминала, стартирайте програмата и изпълнете плана за тестване, който сте проектирали по-горе. Колкото по-изчерпателен е вашият тестов план, толкова по-малко проблеми ще срещнете по-късно.

    След като приключите с изпълнението на плана за тестване, върнете се към терминала и натиснете бутона С ключ за сканиране на системния журнал за събития AppArmor.

    За всяко събитие ще бъдете подканени да изберете действие. Например, по-долу можем да видим, че / usr / bin / man, който сме профилирали, изпълни / usr / bin / tbl. Можем да изберем дали / usr / bin / tbl трябва да наследи / usr / bin / man настройките за сигурност, дали трябва да се изпълнява със собствен профил на AppArmor или да се изпълнява в неограничен режим..

    За някои други действия ще видите различни подсказки - тук ние позволяваме достъп до / dev / tty, устройство, което представлява терминала

    В края на процеса ще бъдете подканени да запишете новия си профил в AppArmor.

    Активиране на режима на оплакване и променяне на подпрофила

    След като създадете профила, поставете го в „режим на оплаквания“, където AppArmor не ограничава действията, които може да предприеме, а вместо това записва всички ограничения, които биха възникнали в противен случай:

    sudo aa-complain / път / към / двоичен

    Използвайте програмата нормално за известно време. След като го използвате нормално в режим жалба, изпълнете следната команда, за да сканирате системните си регистри за грешки и да актуализирате профила:

    sudo aa-logprof

    Използване на Enforce Mode за блокиране на приложението

    След като приключите с прецизната настройка на профила си в AppArmor, активирайте „Наложи режим“, за да заключите приложението:

    sudo aa-принудително / път / към / двоичен

    Може да искате да стартирате sudo aa-logprof заповядайте в бъдеще да настройвате профила си.


    Профилите на AppArmor са обикновени текстови файлове, така че можете да ги отворите в текстов редактор и да ги настроите ръчно. Устройствата по-горе обаче ви водят през процеса.