AppArmor zaključava programe na vašem Ubuntu sustavu, dopuštajući im samo dopuštenja koja im je potrebna u uobičajenoj uporabi - naročito korisna za poslužiteljski softver koji može biti ugrožen. AppArmor uključuje jednostavne alate pomoću kojih možete zaključati druge aplikacije.
AppArmor je standardno uključen u Ubuntu i nekim drugim Linux distribucijama. Ubuntu isporučuje AppArmor s nekoliko profila, ali možete stvoriti i vlastite AppArmor profile. AppArmorovi programi mogu pratiti izvršenje programa i pomoći vam u stvaranju profila.
Prije stvaranja vlastitog profila za aplikaciju, preporučujemo da provjerite paket apparmor-profila u Ubuntuovim spremištima da biste vidjeli postoji li profil za aplikaciju koju želite ograničiti.
Morat ćete pokrenuti program dok ga AppArmor promatra i prolazi kroz sve normalne funkcije. U osnovi, trebali biste koristiti program kao što će se koristiti u uobičajenoj uporabi: pokrenite program, zaustavite ga, ponovno učitajte i koristite sve njegove mogućnosti. Trebali biste izraditi testni plan koji prolazi kroz funkcije koje program treba izvesti.
Prije pokretanja testnog plana, pokrenite terminal i pokrenite sljedeće naredbe za instalaciju i pokretanje aa-genprofa:
sudo apt-get instalirajte apparmor-utils
sudo aa-genprof / put / do / binarni
Ostavite aa-genprof da radi na terminalu, pokrenite program i pokrenite testni plan koji ste izradili gore. Što je sveobuhvatniji vaš plan testiranja, to će manje problema biti kasnije.
Kada završite s testnim planom, vratite se na terminal i pritisnite S ključ za skeniranje zapisnika sustava za AppArmor događaje.
Za svaki se događaj od vas će zatražiti da odaberete neku radnju. Na primjer, ispod možemo vidjeti da / usr / bin / čovjek, koji smo profilirali, izvršili / usr / bin / tbl. Možemo odabrati hoće li nas / usr / bin / tbl naslijediti sigurnosne postavke / usr / bin / man, treba li se pokrenuti s vlastitim AppArmor profilom ili bi trebao biti pokrenut u nekorigiranom načinu rada.
Za neke druge radnje vidjet ćete različite upute - ovdje dopuštamo pristup / dev / tty, uređaj koji predstavlja terminal
Na kraju procesa, od vas će se tražiti da spremite svoj novi AppArmor profil.
Nakon što stvorite profil, stavite ga u "žalbeni način", gdje AppArmor ne ograničava radnje koje može poduzeti, već umjesto toga prijavi sva ograničenja koja bi se inače dogodila:
sudo aa-žali / put / do / binarni
Koristite program normalno neko vrijeme. Nakon što ga normalno koristite u načinu žalbe, pokrenite sljedeću naredbu za skeniranje zapisnika sustava za pogreške i ažuriranje profila:
sudo aa-logprof
Nakon što ste završili s ugađanjem vašeg AppArmor profila, omogućite "način provjere" za zaključavanje aplikacije:
sudo aa-enforce / put / do / binarni
Možda ćete htjeti pokrenuti sudo aa-logprof naredba u budućnosti za ugađanje vašeg profila.
AppArmor profili su obične tekstualne datoteke, tako da ih možete otvoriti u uređivaču teksta i prilagođavati ih ručno. Međutim, gornje uslužne jedinice vode vas kroz postupak.
