Trang chủ » làm thế nào để » Cách tạo Hồ sơ AppArmor để khóa các chương trình trên Ubuntu

    Cách tạo Hồ sơ AppArmor để khóa các chương trình trên Ubuntu

    AppArmor khóa các chương trình trên hệ thống Ubuntu của bạn, chỉ cho phép chúng các quyền mà chúng yêu cầu trong sử dụng bình thường - đặc biệt hữu ích cho phần mềm máy chủ có thể bị xâm phạm. AppArmor bao gồm các công cụ đơn giản mà bạn có thể sử dụng để khóa các ứng dụng khác.

    AppArmor được bao gồm theo mặc định trong Ubuntu và một số bản phân phối Linux khác. Ubuntu vận chuyển AppArmor với một số cấu hình, nhưng bạn cũng có thể tạo hồ sơ AppArmor của riêng mình. Các tiện ích của AppArmor có thể giám sát việc thực hiện chương trình và giúp bạn tạo hồ sơ.

    Trước khi tạo hồ sơ của riêng bạn cho một ứng dụng, bạn có thể muốn kiểm tra gói cấu hình apparmor trong kho của Ubuntu để xem liệu cấu hình cho ứng dụng bạn muốn giới hạn đã tồn tại chưa.

    Tạo và chạy một kế hoạch kiểm tra

    Bạn sẽ cần chạy chương trình trong khi AppArmor đang xem và xem qua tất cả các chức năng thông thường của nó. Về cơ bản, bạn nên sử dụng chương trình như nó sẽ được sử dụng trong sử dụng bình thường: khởi động chương trình, dừng chương trình, tải lại và sử dụng tất cả các tính năng của nó. Bạn nên thiết kế một kế hoạch kiểm tra đi qua các chức năng mà chương trình cần thực hiện.

    Trước khi chạy qua gói thử nghiệm của bạn, hãy khởi chạy một thiết bị đầu cuối và chạy các lệnh sau để cài đặt và chạy aa-genprof:

    sudo apt-get cài đặt apparmor-utils

    sudo aa-genprof / path / to / binary

    Để aa-genprof chạy trong thiết bị đầu cuối, khởi động chương trình và chạy qua kế hoạch kiểm tra mà bạn đã thiết kế ở trên. Kế hoạch kiểm tra của bạn càng toàn diện, bạn sẽ càng gặp ít vấn đề hơn sau này.

    Sau khi bạn thực hiện xong kế hoạch kiểm tra của mình, quay trở lại thiết bị đầu cuối và nhấn nút S Phím để quét nhật ký hệ thống cho các sự kiện AppArmor.

    Đối với mỗi sự kiện, bạn sẽ được nhắc chọn một hành động. Ví dụ, bên dưới chúng ta có thể thấy rằng / usr / bin / man, mà chúng ta đã lược tả, thực hiện / usr / bin / tbl. Chúng ta có thể chọn liệu / usr / bin / tbl có nên kế thừa cài đặt bảo mật / usr / bin / man hay không, liệu nó có nên chạy với cấu hình AppArmor của chính nó hay không, liệu nó có nên chạy ở chế độ không kiểm soát.

    Đối với một số hành động khác, bạn sẽ thấy các lời nhắc khác nhau - ở đây chúng tôi cho phép truy cập vào / dev / tty, một thiết bị đại diện cho thiết bị đầu cuối

    Khi kết thúc quá trình, bạn sẽ được nhắc lưu hồ sơ AppArmor mới của mình.

    Kích hoạt chế độ khiếu nại và tinh chỉnh hồ sơ

    Sau khi tạo hồ sơ, hãy đặt nó vào chế độ khiếu nại, trong đó AppArmor không hạn chế các hành động có thể thực hiện mà thay vào đó ghi lại mọi hạn chế sẽ xảy ra:

    sudo aa-phàn nàn / đường dẫn / đến / nhị phân

    Sử dụng chương trình bình thường trong một thời gian. Sau khi sử dụng bình thường trong chế độ khiếu nại, hãy chạy lệnh sau để quét các bản ghi hệ thống của bạn để tìm lỗi và cập nhật hồ sơ:

    sudo aa-logprof

    Sử dụng Chế độ thực thi để khóa ứng dụng

    Sau khi bạn hoàn thành việc tinh chỉnh hồ sơ AppArmor của mình, hãy bật chế độ thực thi của Cameron để khóa ứng dụng:

    sudo aa-thi hành / đường dẫn / đến / nhị phân

    Bạn có thể muốn chạy sudo aa-logprof lệnh trong tương lai để điều chỉnh hồ sơ của bạn.


    Cấu hình AppArmor là các tệp văn bản thuần túy, vì vậy bạn có thể mở chúng trong trình chỉnh sửa văn bản và chỉnh sửa chúng bằng tay. Tuy nhiên, các tiện ích trên hướng dẫn bạn trong suốt quá trình.