Як створити AppArmor профілі для блокування програм на Ubuntu
AppArmor блокує програми на вашій системі Ubuntu, дозволяючи їм лише дозволи, які вони вимагають при звичайному використанні - особливо корисно для серверного програмного забезпечення, яке може стати компромісним. AppArmor містить прості інструменти, які можна використовувати для блокування інших програм.
AppArmor включено за замовчуванням в Ubuntu і деяких інших дистрибутивах Linux. Ubuntu поставляє AppArmor з кількома профілями, але ви також можете створювати власні профілі AppArmor. Утиліти AppArmor можуть відстежувати виконання програми та допомагати створювати профіль.
Перед створенням власного профілю для програми, ви можете перевірити пакет apparmor-профілів у сховищах Ubuntu, щоб побачити, чи існує профіль для програми, яку ви хочете обмежити, вже існує.
Створіть і запустіть план тестування
Вам потрібно запустити програму, поки AppArmor спостерігає за нею і пройде всі її звичайні функції. В основному, ви повинні використовувати програму так, як вона буде використана при звичайному використанні: запустіть програму, зупиніть її, перезавантажте її, і використовуйте всі її функції. Слід розробити план тестування, який проходить через функції, які програма повинна виконувати.
Перш ніж запустити план тестування, запустіть термінал і виконайте наступні команди для встановлення та запуску aa-genprof:
sudo apt-get встановлює apparmor-utils
sudo aa-genprof / path / to / binary
Залиште aa-genprof, запущений в терміналі, запустіть програму і запустіть план тесту, який ви розробили вище. Чим більш повний план тестування, тим менше проблем ви зіткнетеся з ним пізніше.
Після завершення виконання тестового плану поверніться до терміналу і натисніть кнопку S для сканування системного журналу для подій AppArmor.
Для кожної події буде запропоновано вибрати дію. Наприклад, нижче ми бачимо, що / usr / bin / man, який ми профiлювали, виконав / usr / bin / tbl. Ми можемо вибрати, чи / usr / bin / tbl повинен успадковувати / usr / bin / man налаштування безпеки, чи повинен він працювати зі своїм власним профілем AppArmor, чи він повинен працювати в непідготовленому режимі.
Для деяких інших дій ви побачите різні підказки - тут ми дозволяємо доступ до / dev / tty, пристрою, який представляє термінал
Після завершення процесу вам буде запропоновано зберегти новий профіль AppArmor.
Увімкнення режиму скарги та налаштування профілю
Після створення профілю помістіть його в режим скарги, де AppArmor не обмежує дії, які він може виконати, а замість того, щоб вносити в журнал будь-які обмеження, які могли б відбутися в іншому випадку:
sudo aa-complain / шлях / до / двійковий
Використовуйте програму на деякий час. Після звичайного використання в режимі скарги виконайте таку команду, щоб перевірити системні журнали на наявність помилок і оновити профіль:
sudo aa-logprof
Використання режиму примусового блокування програми
Після того, як ви закінчите налаштування профілю AppArmor, увімкніть режим примусового ввімкнення, щоб заблокувати програму:
sudo aa-sproce / path / to / binary
Ви можете запустити sudo aa-logprof команду в майбутньому налаштувати ваш профіль.
Профілі AppArmor - це текстові файли, тому ви можете відкрити їх у текстовому редакторі та налаштувати вручну. Проте вищезазначені утиліти допоможуть вам у цьому процесі.