Ubuntu'da Programları Kilitlemek için AppArmor Profilleri Nasıl Oluşturulur
AppArmor, Ubuntu sisteminizdeki programları kilitler ve normal kullanımda ihtiyaç duydukları izinleri sağlar - özellikle tehlikeye girebilecek sunucu yazılımı için kullanışlıdır. AppArmor, diğer uygulamaları kilitlemek için kullanabileceğiniz basit araçlar içerir.
AppArmor varsayılan olarak Ubuntu ve diğer Linux dağıtımlarına dahil edilmiştir. Ubuntu, AppArmor'u birkaç profille birlikte gönderir, ancak kendi AppArmor profillerinizi de oluşturabilirsiniz. AppArmor'un yardımcı programları bir programın yürütülmesini izleyebilir ve bir profil oluşturmanıza yardımcı olabilir.
Bir uygulama için kendi profilinizi oluşturmadan önce, sınırlandırmak istediğiniz uygulama için bir profil olup olmadığını görmek için Ubuntu'nun depolarındaki apparmor-profilleri paketini kontrol etmek isteyebilirsiniz..
Test Planı Oluşturma ve Çalıştırma
AppArmor programı izlerken programı çalıştırmanız ve tüm normal fonksiyonlarını uygulamanız gerekir. Temel olarak, programı normal kullanımda olduğu gibi kullanmalısınız: programı başlatın, durdurun, yeniden yükleyin ve tüm özelliklerini kullanın. Programın gerçekleştirmesi gereken işlevlerden geçen bir test planı tasarlamanız gerekir..
Test planınızı uygulamadan önce bir terminal başlatın ve aa-genprof kurulumu ve çalıştırması için aşağıdaki komutları çalıştırın:
sudo apt-get install apparmor-utils
sudo aa-genprof / yol / dan / ikili
Aa-genprof'un terminalde çalışmasına izin verin, programı başlatın ve yukarıda tasarladığınız test planını çalıştırın. Test planınız ne kadar kapsamlı olursa, o kadar az sorunla karşılaşırsınız.
Test planınızı gerçekleştirdikten sonra terminale dönün ve S AppArmor olayları için sistem günlüğünü taramak için anahtar.
Her etkinlik için bir eylem seçmeniz istenir. Örneğin, aşağıda profilini verdiğimiz / usr / bin / man 'in / usr / bin / tbl' yi görebiliriz. / Usr / bin / tbl dosyasının / usr / bin / man'ın güvenlik ayarlarını miras almasını mı, kendi AppArmor profiliyle mi çalışacağını veya tanımsız modda mı çalışacağını seçebiliriz.
Diğer bazı işlemler için farklı istemler göreceksiniz - burada terminali temsil eden bir aygıta / dev / tty'ye erişime izin veriyoruz
İşlemin sonunda, yeni AppArmor profilinizi kaydetmeniz istenir.
Şikayet Modunu Etkinleştirme ve Profili Düzenleme
Profili oluşturduktan sonra, AppArmor'un gerçekleştirebileceği eylemleri kısıtlamadığı ancak bunun yerine gerçekleşebilecek tüm kısıtlamaları günlüğe koyduğu "şikayet moduna" geçin:
sudo aa-şikayet / yol / için / ikili
Programı normalde bir süre kullanın. Şikayet modunda normal olarak kullandıktan sonra, sistem kayıtlarınızı hatalara karşı taramak ve profili güncellemek için aşağıdaki komutu çalıştırın:
sudo aa-logprof
Uygulamayı Kilitlemek İçin Zorlama Modunu Kullanma
AppArmor profilinizde ince ayar yapıldıktan sonra, uygulamayı kilitlemek için "zorla modu" nu etkinleştirin:
sudo aa-enforce / yol / dan / ikili
Çalıştırmak isteyebilirsiniz sudo aa-logprof Gelecekte profilini değiştirmek için komut ver.
AppArmor profilleri düz metin dosyalarıdır, böylece onları bir metin düzenleyicide açabilir ve elle çimdikleyebilirsiniz. Bununla birlikte, yukarıdaki yardımcı programlar süreç boyunca size rehberlik eder.