AppArmor ล็อคโปรแกรมลงบน Ubuntu ของคุณระบบอนุญาตให้เฉพาะสิทธิ์ที่จำเป็นต้องใช้ในการใช้งานปกติ - มีประโยชน์อย่างยิ่งสำหรับซอฟต์แวร์เซิร์ฟเวอร์ที่อาจถูกบุกรุก AppArmor มีเครื่องมือง่ายๆที่คุณสามารถใช้เพื่อล็อคแอปพลิเคชันอื่น ๆ
AppArmor รวมอยู่ในค่าเริ่มต้นใน Ubuntu และลีนุกซ์รุ่นอื่น ๆ Ubuntu จัดส่ง AppArmor ด้วยโปรไฟล์หลายโปรไฟล์ แต่คุณสามารถสร้างโปรไฟล์ AppArmor ของคุณเองได้ ยูทิลิตี้ของ AppArmor สามารถตรวจสอบการทำงานของโปรแกรมและช่วยคุณสร้างโปรไฟล์
ก่อนที่จะสร้างโปรไฟล์ของคุณเองสำหรับแอปพลิเคชันคุณอาจต้องการตรวจสอบแพคเกจ apparmor-profiles ในที่เก็บของ Ubuntu เพื่อดูว่ามีโปรไฟล์สำหรับแอปพลิเคชันที่คุณต้องการ จำกัด อยู่หรือไม่
สร้างและเรียกใช้แผนการทดสอบ
คุณจะต้องเรียกใช้โปรแกรมในขณะที่ AppArmor เป็นดูมันและเดินผ่านฟังก์ชั่นปกติทั้งหมดของมัน โดยทั่วไปคุณควรใช้โปรแกรมตามที่ใช้ในการใช้งานปกติ: เริ่มโปรแกรมหยุดมันโหลดซ้ำและใช้คุณสมบัติทั้งหมดของมัน คุณควรออกแบบแผนการทดสอบที่ผ่านฟังก์ชั่นที่โปรแกรมจำเป็นต้องดำเนินการ
ก่อนดำเนินการตามแผนทดสอบของคุณให้เรียกใช้เทอร์มินัลแล้วเรียกใช้คำสั่งต่อไปนี้เพื่อติดตั้งและเรียกใช้ aa-genprof:
sudo apt-get install apparmor-utils
sudo aa-genprof / path / to / binary
ปล่อยให้ aa-genprof ทำงานในเทอร์มินัลเริ่มโปรแกรมและทำงานผ่านแผนการทดสอบที่คุณออกแบบไว้ด้านบน ยิ่งแผนการทดสอบของคุณครอบคลุมมากขึ้นปัญหาที่คุณจะพบเจอก็จะน้อยลง
หลังจากดำเนินการตามแผนทดสอบเสร็จแล้วให้กลับไปที่เทอร์มินัลแล้วกด S กุญแจสำคัญในการสแกนบันทึกของระบบสำหรับเหตุการณ์ AppArmor
สำหรับแต่ละเหตุการณ์คุณจะได้รับแจ้งให้เลือกหนังบู๊. ตัวอย่างเช่นด้านล่างเราจะเห็นว่า / usr / bin / man ซึ่งเราทำโปรไฟล์ดำเนินการ / usr / bin / tbl เราสามารถเลือกได้ว่า / usr / bin / tbl ควรสืบทอดการตั้งค่าความปลอดภัยของ / usr / bin / man หรือไม่ว่าควรรันด้วยโปรไฟล์ AppArmor ของตนเองหรือไม่หรือควรรันในโหมดที่ไม่ได้กำหนดไว้
สำหรับการดำเนินการอื่น ๆ คุณจะเห็นข้อความแจ้งต่าง ๆ - ที่นี่เราอนุญาตให้เข้าถึง / dev / tty ซึ่งเป็นอุปกรณ์ที่แสดงถึงเครื่องปลายทาง
เมื่อสิ้นสุดกระบวนการคุณจะได้รับแจ้งให้บันทึกโปรไฟล์ AppArmor ใหม่ของคุณ
การเปิดใช้งานโหมดการร้องเรียนและปรับแต่งโปรไฟล์
หลังจากสร้างโปรไฟล์ให้ใส่ไว้ใน "โหมดบ่น" โดยที่ AppArmor ไม่ได้ จำกัด การกระทำที่สามารถทำได้ แต่จะบันทึกข้อ จำกัด ใด ๆ ที่อาจเกิดขึ้นแทน:
sudo aa-บ่น / path / to / binary
ใช้โปรแกรมตามปกติชั่วขณะหนึ่ง หลังจากใช้งานได้ตามปกติในโหมดบ่นให้รันคำสั่งต่อไปนี้เพื่อสแกนบันทึกข้อผิดพลาดของระบบและอัพเดตโปรไฟล์:
sudo aa-logprof
การใช้โหมดบังคับใช้เพื่อล็อคแอปพลิเคชัน
หลังจากปรับแต่งโปรไฟล์ AppArmor ของคุณเสร็จแล้วให้เปิดใช้งาน "โหมดบังคับใช้" เพื่อล็อคแอปพลิเคชัน:
sudo aa-enforce / path / to / binary
คุณอาจต้องการเรียกใช้ sudo aa-logprof สั่งในอนาคตเพื่อปรับแต่งโปรไฟล์ของคุณ
โปรไฟล์ AppArmor เป็นไฟล์ข้อความธรรมดาดังนั้นคุณสามารถเปิดได้ในโปรแกรมแก้ไขข้อความและปรับแต่งด้วยมือ อย่างไรก็ตามยูทิลิตี้ข้างต้นแนะนำคุณตลอดกระบวนการ
