כיצד ליצור פרופילים AppArmor לנעול למטה תוכניות על אובונטו
AppArmor מנע תוכניות למטה על מערכת אובונטו שלך, ומאפשר להם רק את ההרשאות שהם דורשים בשימוש רגיל - שימושי במיוחד עבור תוכנת השרת שעלול להיות בסכנה. AppArmor כולל כלים פשוטים אתה יכול להשתמש כדי לנעול את היישומים האחרים.
AppArmor נכלל כברירת מחדל באובונטו ובהפצות לינוקס אחרות. אובונטו שולחת את AppArmor עם מספר פרופילים, אך ניתן גם ליצור פרופילי AppArmor משלך. כלי השירות של AppArmor יכולים לעקוב אחר ביצוע התוכנית ולעזור לך ליצור פרופיל.
לפני יצירת פרופיל משלך ליישום, ייתכן שתרצה לבדוק את חבילת הפרופילים הזוהרים במאגרי הנתונים של אובונטו כדי לראות אם קיים כבר פרופיל עבור היישום שברצונך להגביל.
ליצור ולהפעיל תוכנית בדיקה
יהיה עליך להפעיל את התוכנית בעוד AppArmor הוא צופה בו וללכת דרך כל הפונקציות הרגילות שלה. בעיקרון, אתה צריך להשתמש בתוכנית כפי שהוא יהיה בשימוש רגיל להשתמש: להפעיל את התוכנית, לעצור אותו, לטעון אותו מחדש, ולהשתמש בכל התכונות שלו. אתה צריך לעצב תוכנית הבדיקה שעובר את הפונקציות התוכנית צריכה לבצע.
לפני הפעלת תוכנית הבדיקה, הפעל מסוף והפעל את הפקודות הבאות להתקנה ולהפעלה של aa-genprof:
sudo apt- לקבל להתקין apparmor-utils
sudo aa-genprof / נתיב / אל / בינארי
השאירו aa-genprof פועל בטרמינל, להפעיל את התוכנית, ולהפעיל את תוכנית הבדיקה שתכננת לעיל. ככל שתוכנית המבחן שלך תהיה מקיפה יותר, כך ייתקלו הבעיות בהמשך.
לאחר שתסיים לבצע את תוכנית הבדיקה, חזור למסוף ולחץ על S כדי לסרוק את יומן המערכת עבור אירועים AppArmor.
עבור כל אירוע, תתבקש לבחור פעולה. לדוגמה, להלן אנו יכולים לראות את זה / usr / bin / man, אשר אנו profiled, להורג / usr / bin / tbl. אנו יכולים לבחור האם / usr / bin / tbl צריך לרשת את הגדרות האבטחה של usr / bin / man, בין אם הוא צריך לפעול עם פרופיל AppArmor משלו, או אם הוא אמור לפעול במצב לא מוגדר.
עבור פעולות אחרות, תראה הנחיות שונות - כאן אנו מאפשרים גישה אל / dev / tty, מכשיר המייצג את הטרמינל
בסיום התהליך תתבקש לשמור את פרופיל AppArmor החדש שלך.
הפעלת מצב התלונה & Tweaking פרופיל
לאחר יצירת הפרופיל, לשים אותו "מצב התלונה", שבו AppArmor אינו מגביל את הפעולות שניתן לנקוט, אלא במקום כל ההגבלות שאחרת היו מתרחשים:
sudo aa-compl / path / to / binary
השתמש בתוכנית בדרך כלל למשך זמן מה. לאחר השימוש בו בדרך כלל במצב התלונה, הפעל את הפקודה הבאה כדי לסרוק את יומני המערכת שלך עבור שגיאות ולעדכן את הפרופיל:
sudo aa-logprof
השתמש במצב אכיפה כדי לנעול את היישום
לאחר שתסיים לכוונן את פרופיל AppArmor שלך, הפעל את "אכיפת מצב" כדי לנעול את היישום:
sudo aa-אכיפה / נתיב / אל / בינארי
ייתכן שתרצה להפעיל את sudo aa-logprof הפקודה בעתיד כדי לצבוט את הפרופיל שלך.
פרופילי AppArmor הם קבצי טקסט פשוטים, כך שתוכל לפתוח אותם בעורך טקסט ולכוונן ידנית. עם זאת, כלי עזר לעיל להדריך אותך בתהליך.