AppArmor заключва програми във вашата Ubuntu система, като им позволява само разрешенията, които те изискват при нормална употреба - особено полезни за сървърния софтуер, който може да се компрометира. AppArmor включва прости инструменти, които можете да използвате, за да заключите други приложения.
AppArmor е включен по подразбиране в Ubuntu и някои други дистрибуции на Linux. Ubuntu кораби AppArmor с няколко профила, но можете също така да създадете свои собствени AppArmor профили. Помощните програми на AppArmor могат да следят изпълнението на програмата и да ви помогнат да създадете профил.
Преди да създадете свой собствен профил за дадено приложение, можете да проверите пакета apparmor-profiles в хранилищата на Ubuntu, за да видите дали вече съществува потребителски профил за приложението, което искате да ограничите.
Ще трябва да стартирате програмата, докато AppArmor я гледа и върви през всичките си нормални функции. По принцип трябва да използвате програмата, тъй като тя ще се използва при нормална употреба: стартирайте програмата, спрете я, презаредете я и използвайте всичките й функции. Трябва да изработите план за тестване, който да изпълнява функциите, които програмата трябва да изпълни.
Преди да преминете през тестовия си план, стартирайте терминал и изпълнете следните команди, за да инсталирате и стартирате aa-genprof:
sudo apt-get инсталирате apparmor-utils
sudo aa-genprof / път / към / двоичен
Оставете aa-genprof в терминала, стартирайте програмата и изпълнете тестовия план, който сте създали по-горе. Колкото по-изчерпателен е вашият план за тестване, толкова по-малко проблеми ще срещнете по-късно.
След като приключите с изпълнението на тестовия си план, върнете се към терминала и натиснете С ключ за сканиране на системния журнал за събития AppArmor.
За всяко събитие ще бъдете подканени да изберете действие. Например, по-долу можем да видим, че / usr / bin / man, който профилирахме, изпълни / usr / bin / tbl. Можем да изберем дали / usr / bin / tbl да наследи настройките за защита / usr / bin / man, независимо дали трябва да работи със собствения си AppArmor профил или дали да работи в неконфигуриран режим.
За някои други действия ще видите различни подканяния - тук разрешаваме достъп до / dev / tty, устройство, което представлява терминала
В края на процеса ще бъдете подканени да запазите новия си AppArmor профил.
След като създадете профила, поставете го в "режим на оплакване", където AppArmor не ограничава действията, които може да предприеме, а вместо това регистрира всички ограничения, които иначе биха възникнали:
sudo aa-оплакване / път / към / двоичен
Използвайте програмата обикновено за известно време. След като го използвате обикновено в режим на оплакване, изпълнете следната команда, за да сканирате системните си регистрационни файлове за грешки и да актуализирате профила:
sudo aa-logprof
След като завършите фина настройка на профила си AppArmor, активирайте "режим на налагане", за да заключите приложението:
sudo aa-enforce / път / към / двоичен
Може да искате да стартирате sudo aa-logprof команда в бъдеще да промените профила си.
Профилите на AppArmor са обикновени текстови файлове, така че можете да ги отворите в текстов редактор и да ги изтриете на ръка. Въпреки това, помощните програми по-горе ви водят през процеса.
