AppArmor blochează programele din sistemul dvs. Ubuntu, permițându-le să le permită numai permisiunile necesare în condiții normale de utilizare - deosebit de utile pentru software-ul de tip server care ar putea deveni compromis. AppArmor include instrumente simple pe care le puteți utiliza pentru a bloca alte aplicații.
AppArmor este inclus în mod implicit în Ubuntu și în alte distribuții Linux. Ubuntu livrează AppArmor cu mai multe profiluri, dar puteți crea și propriile profiluri AppArmor. Aplicațiile AppArmor pot monitoriza execuția unui program și vă pot ajuta să creați un profil.
Înainte de a vă crea propriul profil pentru o aplicație, vă recomandăm să verificați pachetul apparmor-profiles din depozitele Ubuntu pentru a vedea dacă există deja un profil pentru aplicația pe care doriți să o limitați.
Va trebui să rulați programul în timp ce AppArmor o urmărește și trece prin toate funcțiile sale normale. Practic, ar trebui să folosiți programul ca și cum ar fi folosit în uz normal: porniți programul, opriți-l, reîncărcați-l și utilizați toate caracteristicile acestuia. Ar trebui să creați un plan de testare care să treacă prin funcțiile pe care programul trebuie să le îndeplinească.
Înainte de a trece prin planul de testare, lansați un terminal și executați următoarele comenzi pentru a instala și rula aa-genprof:
sudo apt-get instala apparmor-utils
sudo aa-genprof / cale / către / binar
Lăsați-a-genprof să ruleze în terminal, să pornească programul și să treacă prin planul de testare pe care l-ați proiectat mai sus. Cu cât planul dvs. de testare este mai cuprinzător, cu atât mai puține probleme pe care le veți întâlni mai târziu.
După ce ați terminat de executat planul de testare, reveniți la terminal și apăsați pe S pentru scanarea jurnalului de sistem pentru evenimentele AppArmor.
Pentru fiecare eveniment, vi se va solicita să alegeți o acțiune. De exemplu, mai jos vedem că / usr / bin / man, pe care l-am profilat, executat / usr / bin / tbl. Putem selecta dacă / usr / bin / tbl ar trebui să moștenească setările de securitate / usr / bin / man, indiferent dacă ar trebui să ruleze cu propriul profil AppArmor sau dacă ar trebui să ruleze în mod neconfined.
Pentru alte acțiuni, veți vedea solicitări diferite - aici permitem accesul la / dev / tty, un dispozitiv care reprezintă terminalul
La sfârșitul procesului, vi se va cere să vă salvați noul profil AppArmor.
După crearea profilului, puneți-l în "modul de reclamație", în care AppArmor nu restricționează acțiunile pe care le poate lua, ci înregistrează în schimb orice restricții care ar apărea altfel:
sudo aa-se plâng / cale / către / binar
Utilizați programul în mod normal pentru un timp. După ce o utilizați în mod normal în modul de plângere, executați următoarea comandă pentru a scana jurnalele de sistem pentru erori și pentru a actualiza profilul:
sudo aa-logprof
După ce ați finalizat reglarea profilului dvs. AppArmor, activați modul "forțare" pentru a bloca aplicația:
sudo aa-enforce / calea / către / binar
Poate doriți să rulați sudo aa-logprof comanda în viitor pentru a vă alinia profilul.
Formatele AppArmor sunt fișiere cu text simplu, astfel încât să le puteți deschide într-un editor de text și să le modificați manual. Totuși, utilitățile de mai sus vă ghidează prin proces.