AppArmor sulkee ohjelmat Ubuntu-järjestelmään ja antaa heille vain käyttöoikeudet, joita he tarvitsevat normaalissa käytössä - erityisen hyödyllisiä palvelinohjelmistoille, jotka saattavat vaarantua. AppArmor sisältää yksinkertaisia työkaluja, joiden avulla voit lukita muita sovelluksia.
AppArmor sisältyy oletusarvoisesti Ubuntuun ja muihin Linux-jakeluihin. Ubuntu toimittaa AppArmorin useita profiileja, mutta voit myös luoda omia AppArmor-profiileitasi. AppArmorin apuohjelmat voivat seurata ohjelman suorittamista ja auttaa sinua luomaan profiilin.
Ennen oman profiilin luomista sovellusta varten kannattaa tarkistaa apparmor-profiilien paketti Ubuntun arkistoista, jotta näet, onko sovellukselle profiili, jonka haluat rajata, jo olemassa.
Sinun on suoritettava ohjelma, kun AppArmor tarkkailee sitä ja kulkee läpi kaikki tavanomaiset toiminnot. Periaatteessa sinun pitäisi käyttää ohjelmaa sellaisena kuin sitä käytetään normaalissa käytössä: käynnistää ohjelma, pysäyttää se, ladata se uudelleen ja käyttää kaikkia sen ominaisuuksia. Sinun pitäisi suunnitella testisuunnitelma, joka kulkee ohjelmiston suorittamien toimintojen läpi.
Ennen kuin suoritat testaussuunnitelman, käynnistä terminaali ja suorita seuraavat komennot aa-genprof: n asentamiseksi ja suorittamiseksi:
sudo apt-get asentaa apparmor-utils
sudo aa-genprof / path / to / binary
Jätä aa-genprof käynnissä terminaalissa, käynnistä ohjelma ja suorita edellä suunniteltu testaussuunnitelma. Mitä kattavampi testaussuunnitelma on, sitä vähemmän ongelmia sinua myöhemmin.
Kun olet valmis testisuunnitelman suorittamiseen, palaa päätteeseen ja paina painiketta S avain skannaamaan AppArmor-tapahtumien järjestelmälogi.
Jokaista tapahtumaa varten sinua pyydetään valitsemaan jokin toiminto. Esimerkiksi alla voidaan nähdä, että / usr / bin / man, jonka olemme profiloituneet, suoritti / usr / bin / tbl. Voimme valita, pitääkö / usr / bin / tbl periä / usr / bin / man: n suojausasetuksia, olipa se suoritettava omalla AppArmor-profiilillaan vai pitäisikö sen olla käyttämättömänä.
Joidenkin muiden toimien kohdalla näet erilaisia kehotteita - tässä sallimme pääsyn / dev / tty: lle, joka edustaa terminaalia
Prosessin lopussa sinua pyydetään tallentamaan uusi AppArmor-profiili.
Kun olet luonut profiilin, laita se "valitustilaan", jossa AppArmor ei rajoita toimia, joita se voi tehdä, vaan kirjaa muuten rajoittavia rajoituksia:
sudo aa-valittaa / polku / to / binary
Käytä ohjelmaa normaalisti jonkin aikaa. Kun olet käyttänyt sitä normaalisti valitustilassa, suorita seuraava komento skannaamaan järjestelmän lokit virheille ja päivittämään profiili:
sudo aa-logprof
Kun olet tehnyt AppArmor-profiilin hienosäätöä, ota sovellus käyttöön seuraavasti:
sudo aa-enforce / path / to / binario
Voit halutessasi suorittaa ohjelman sudo aa-logprof komento tulevaisuudessa nostaaksesi profiilisi.
AppArmor-profiilit ovat tavallisia tekstitiedostoja, joten voit avata ne tekstieditorissa ja hienosäätää niitä käsin. Edellä olevat apuohjelmat ohjaavat sinut prosessin läpi.
