Cum de a crea profiluri AppArmor pentru a bloca programele pe Ubuntu
AppArmor blochează programele din sistemul dvs. Ubuntu, permițându-le numai permisiunile necesare în condiții normale de utilizare - deosebit de utile pentru software-ul server care poate deveni compromis. AppArmor include instrumente simple pe care le puteți utiliza pentru a bloca alte aplicații.
AppArmor este inclus în mod implicit în Ubuntu și în alte distribuții Linux. Ubuntu livrează AppArmor cu mai multe profiluri, dar puteți crea și propriile profiluri AppArmor. Aplicațiile AppArmor pot monitoriza execuția unui program și vă pot ajuta să creați un profil.
Înainte de a vă crea propriul profil pentru o aplicație, vă recomandăm să verificați pachetul apparmor-profiles din depozitele Ubuntu pentru a vedea dacă există deja un profil pentru aplicația pe care doriți să o limitați.
Creați și executați un plan de testare
Va trebui să rulați programul în timp ce AppArmor o urmărește și trece prin toate funcțiile sale normale. Practic, ar trebui să utilizați programul așa cum ar fi folosit în uz normal: porniți programul, opriți-l, reîncărcați-l și utilizați toate caracteristicile acestuia. Ar trebui să creați un plan de testare care să treacă prin funcțiile pe care programul trebuie să le îndeplinească.
Înainte de a trece prin planul de testare, lansați un terminal și executați următoarele comenzi pentru a instala și rula aa-genprof:
sudo apt-get instala apparmor-utils
sudo aa-genprof / cale / către / binar
Lăsați aa-genprof să ruleze în terminal, porniți programul și treceți prin planul de testare pe care l-ați proiectat mai sus. Cu cât planul dvs. de testare este mai cuprinzător, cu atât mai puține probleme veți întâlni mai târziu.
După ce ați terminat planul de testare, reveniți la terminal și apăsați pe S cheie pentru scanarea jurnalului de sistem pentru evenimentele AppArmor.
Pentru fiecare eveniment, vi se va solicita să alegeți o acțiune. De exemplu, mai jos vedem că / usr / bin / man, pe care l-am profilat, a executat / usr / bin / tbl. Putem selecta dacă / usr / bin / tbl ar trebui să moștenească setările de securitate / usr / bin / man, indiferent dacă ar trebui să ruleze cu propriul profil AppArmor sau dacă ar trebui să ruleze în mod neconfined.
Pentru alte acțiuni, veți vedea solicitări diferite - aici permitem accesul la / dev / tty, un dispozitiv care reprezintă terminalul
La sfârșitul procesului, vi se va cere să vă salvați noul profil AppArmor.
Activarea modului Complain și ajustarea profilului
După crearea profilului, puneți-l în "modul de reclamație", unde AppArmor nu restricționează acțiunile pe care le poate lua, ci înregistrează în schimb orice restricții care ar apărea altfel:
sudo aa-se plâng / cale / către / binar
Utilizați programul în mod obișnuit pentru o perioadă. După ce îl utilizați în mod normal în modul de plângere, executați următoarea comandă pentru a scana jurnalele de sistem pentru erori și pentru a actualiza profilul:
sudo aa-logprof
Folosind modul de aplicare pentru a bloca aplicația
După ce ați finalizat reglarea profilului dvs. AppArmor, activați modul "enforce" pentru a bloca aplicația:
sudo aa-enforce / cale / către / binar
Poate doriți să rulați sudo aa-logprof comanda în viitor pentru a vă îmbunătăți profilul.
Formatele AppArmor sunt fișiere cu text simplu, astfel încât să le puteți deschide într-un editor de text și să le modificați manual. Cu toate acestea, utilitarul de mai sus vă ghidează prin proces.