Hvordan lage AppArmor-profiler for å låse ned programmer på Ubuntu
AppArmor sperrer programmer på Ubuntu-systemet, slik at de bare får tillatelsene de trenger i normal bruk - spesielt nyttig for serverprogramvare som kan bli kompromittert. AppArmor inneholder enkle verktøy du kan bruke til å låse ned andre applikasjoner.
AppArmor er inkludert som standard i Ubuntu og noen andre Linux-distribusjoner. Ubuntu sender AppArmor med flere profiler, men du kan også lage dine egne AppArmor-profiler. AppArmors verktøy kan overvåke et programs utførelse og hjelpe deg med å opprette en profil.
Før du oppretter din egen profil for et program, vil du kanskje sjekke apparmorprofilpakken i Ubuntu's repositories for å se om en profil for programmet du vil begrense allerede eksisterer.
Opprett og kjøre en testplan
Du må kjøre programmet mens AppArmor ser det og går gjennom alle sine normale funksjoner. I utgangspunktet bør du bruke programmet som det ville bli brukt til vanlig bruk: start programmet, stopp det, last det på nytt og bruk alle funksjonene. Du bør designe en testplan som går gjennom funksjonene programmet må utføre.
Før du går gjennom testplanen, start en terminal og kjør følgende kommandoer for å installere og kjøre aa-genprof:
sudo apt-get install apparmor-utils
sudo aa-genprof / bane / til / binær
La aa-genprof løpe i terminalen, start programmet, og løp gjennom testplanen du har designet ovenfor. Jo mer omfattende testplanen din, desto mindre problemer kommer du til senere.
Når du er ferdig med å utføre testplanen, går du tilbake til terminalen og trykker på S nøkkel for å skanne systemloggen for AppArmor-hendelser.
For hver hendelse blir du bedt om å velge en handling. For eksempel, under kan vi se at / usr / bin / man, som vi profilerte, utført / usr / bin / tbl. Vi kan velge om / usr / bin / tbl skal arve / usr / bin / man sikkerhetsinnstillinger, om den skal kjøre med egen AppArmor-profil, eller om den skal kjøre i ubegrenset modus.
For noen andre handlinger ser du forskjellige instruksjoner - her tillater vi tilgang til / dev / tty, en enhet som representerer terminalen
På slutten av prosessen blir du bedt om å lagre den nye AppArmor-profilen din.
Aktiverer klage modus og tweaking av profilen
Etter å ha opprettet profilen, sett den inn i "klage modus", der AppArmor ikke begrenser handlingene det kan ta, men logger i stedet noen restriksjoner som ellers ville oppstå:
sudo aa-complain / path / to / binær
Bruk programmet normalt for en stund. Etter å ha brukt det normalt i klage modus, kjør følgende kommando for å skanne systemloggene dine for feil og oppdatere profilen:
sudo aa-logprof
Bruk Enforce Mode til å låse ned applikasjonen
Når du er ferdig med å finjustere AppArmor-profilen din, aktiver du "håndhev modus" for å låse programmet ned:
sudo aa-enforce / path / to / binær
Du vil kanskje kjøre sudo aa-logprof kommandoen i fremtiden for å finjustere profilen din.
AppArmor-profiler er enkle tekstfiler, så du kan åpne dem i et tekstredigeringsprogram og justere dem for hånd. Men verktøyene ovenfor veileder deg gjennom prosessen.