Како креирати АппАрмор профиле за закључавање програма на Убунтуу
АппАрмор закључава програме на вашем Убунту систему, дозвољавајући им само дозволе које су им потребне за нормалну употребу - посебно корисно за серверски софтвер који може постати компромитован. АппАрмор садржи једноставне алате које можете користити за закључавање других апликација.
АппАрмор је подразумевано укључен у Убунту и неке друге Линук дистрибуције. Убунту испоручује АппАрмор са неколико профила, али такође можете креирати сопствене АппАрмор профиле. Услужни програми АппАрмора могу пратити извршење програма и помоћи вам да направите профил.
Пре креирања сопственог профила за апликацију, можда ћете желети да проверите пакет аппармор-профиле у Убунту складиштима да видите да ли постоји профил за апликацију коју желите да ограничите већ постоји.
Направите и покрените план тестирања
Морат ћете покренути програм док га АппАрмор гледа и пролази кроз све његове нормалне функције. У основи, програм треба да користите као што би се користио у нормалној употреби: покрените програм, зауставите га, поново га учитајте и користите све његове могућности. Требало би да направите план теста који пролази кроз функције које програм треба да изврши.
Пре него што покренете план тестирања, покрените терминал и покрените следеће команде да бисте инсталирали и покренули аа-генпроф:
судо апт-гет инсталл аппармор-утилс
судо аа-генпроф / путања / до / бинарно
Оставите аа-генпроф да ради у терминалу, покрените програм и покрените план теста који сте претходно направили. Што је план теста свеобухватнији, мање ћете проблема имати касније.
Када завршите са извршавањем плана тестирања, вратите се на терминал и притисните тастер С кључ за скенирање системског дневника за АппАрмор догађаје.
За сваки догађај од вас ће бити затражено да одаберете радњу. На пример, испод можемо видети да је / уср / бин / ман, који смо профилирали, извршио / уср / бин / тбл. Можемо да изаберемо да ли / уср / бин / тбл треба да наслеђује / уср / бин / ман безбедносне поставке, да ли би требало да се покрене са сопственим АппАрмор профилом, или да ли би требало да ради у неограниченом режиму.
За неке друге акције видећете различите упите - овде дозвољавамо приступ / дев / тти, уређају који представља терминал
На крају процеса од вас ће бити затражено да сачувате свој нови АппАрмор профил.
Омогућавање режима жалбе и прилагођавање профила
Након креирања профила, ставите га у "режим жалбе", где АппАрмор не ограничава акције које може да предузме, већ уместо тога забележи сва ограничења која би се иначе догодила:
судо аа-цомплаин / пут / до / бинарно
Користите програм нормално неко време. Након што га нормално користите у режиму жалбе, покрените следећу команду да бисте скенирали системске дневнике о грешкама и ажурирали профил:
судо аа-логпроф
Користећи Енфорце Моде за блокирање апликације
Након што завршите са финим подешавањем профила АппАрмор, омогућите „спровођење режима“ да бисте закључали апликацију:
судо аа-присвојити / пут / до / бинарно
Можда желите да покренете судо аа-логпроф наредите да убудуће подесите свој профил.
АппАрмор профили су обични текстови, тако да их можете отворити у уређивачу текста и ручно их подесити. Међутим, горе наведени услужни програми вас воде кроз процес.