Почетна » како да » Како креирати АппАрмор профиле за закључавање програма на Убунтуу

    Како креирати АппАрмор профиле за закључавање програма на Убунтуу

    АппАрмор закључава програме на вашем Убунту систему, дозвољавајући им само дозволе које су им потребне за нормалну употребу - посебно корисно за серверски софтвер који може постати компромитован. АппАрмор садржи једноставне алате које можете користити за закључавање других апликација.

    АппАрмор је подразумевано укључен у Убунту и неке друге Линук дистрибуције. Убунту испоручује АппАрмор са неколико профила, али такође можете креирати сопствене АппАрмор профиле. Услужни програми АппАрмора могу пратити извршење програма и помоћи вам да направите профил.

    Пре креирања сопственог профила за апликацију, можда ћете желети да проверите пакет аппармор-профиле у Убунту складиштима да видите да ли постоји профил за апликацију коју желите да ограничите већ постоји.

    Направите и покрените план тестирања

    Морат ћете покренути програм док га АппАрмор гледа и пролази кроз све његове нормалне функције. У основи, програм треба да користите као што би се користио у нормалној употреби: покрените програм, зауставите га, поново га учитајте и користите све његове могућности. Требало би да направите план теста који пролази кроз функције које програм треба да изврши.

    Пре него што покренете план тестирања, покрените терминал и покрените следеће команде да бисте инсталирали и покренули аа-генпроф:

    судо апт-гет инсталл аппармор-утилс

    судо аа-генпроф / путања / до / бинарно

    Оставите аа-генпроф да ради у терминалу, покрените програм и покрените план теста који сте претходно направили. Што је план теста свеобухватнији, мање ћете проблема имати касније.

    Када завршите са извршавањем плана тестирања, вратите се на терминал и притисните тастер С кључ за скенирање системског дневника за АппАрмор догађаје.

    За сваки догађај од вас ће бити затражено да одаберете радњу. На пример, испод можемо видети да је / уср / бин / ман, који смо профилирали, извршио / уср / бин / тбл. Можемо да изаберемо да ли / уср / бин / тбл треба да наслеђује / уср / бин / ман безбедносне поставке, да ли би требало да се покрене са сопственим АппАрмор профилом, или да ли би требало да ради у неограниченом режиму.

    За неке друге акције видећете различите упите - овде дозвољавамо приступ / дев / тти, уређају који представља терминал

    На крају процеса од вас ће бити затражено да сачувате свој нови АппАрмор профил.

    Омогућавање режима жалбе и прилагођавање профила

    Након креирања профила, ставите га у "режим жалбе", где АппАрмор не ограничава акције које може да предузме, већ уместо тога забележи сва ограничења која би се иначе догодила:

    судо аа-цомплаин / пут / до / бинарно

    Користите програм нормално неко време. Након што га нормално користите у режиму жалбе, покрените следећу команду да бисте скенирали системске дневнике о грешкама и ажурирали профил:

    судо аа-логпроф

    Користећи Енфорце Моде за блокирање апликације

    Након што завршите са финим подешавањем профила АппАрмор, омогућите „спровођење режима“ да бисте закључали апликацију:

    судо аа-присвојити / пут / до / бинарно

    Можда желите да покренете судо аа-логпроф наредите да убудуће подесите свој профил.


    АппАрмор профили су обични текстови, тако да их можете отворити у уређивачу текста и ручно их подесити. Међутим, горе наведени услужни програми вас воде кроз процес.