Come creare profili AppArmor per bloccare i programmi su Ubuntu
AppArmor blocca i programmi sul sistema Ubuntu, consentendo loro solo le autorizzazioni che richiedono in uso normale, particolarmente utile per i software server che potrebbero venire compromessi. AppArmor include strumenti semplici che è possibile utilizzare per bloccare altre applicazioni.
AppArmor è incluso di default in Ubuntu e in alcune altre distribuzioni Linux. Ubuntu fornisce AppArmor con diversi profili, ma puoi anche creare i tuoi profili AppArmor. Le utilità di AppArmor possono monitorare l'esecuzione di un programma e aiutarti a creare un profilo.
Prima di creare il proprio profilo per un'applicazione, è possibile controllare il pacchetto profili-apparmor nei repository di Ubuntu per vedere se esiste già un profilo per l'applicazione che si desidera limitare.
Crea ed esegui un piano di test
Avrai bisogno di eseguire il programma mentre AppArmor lo sta guardando e passa attraverso tutte le sue normali funzioni. Fondamentalmente, dovresti usare il programma come se fosse usato normalmente: avvia il programma, fermalo, ricaricalo e usa tutte le sue funzionalità. Dovresti progettare un piano di test che superi le funzioni che il programma deve eseguire.
Prima di eseguire il piano di test, avviare un terminale ed eseguire i seguenti comandi per installare ed eseguire aa-genprof:
sudo apt-get install apparmor-utils
sudo aa-genprof / percorso / a / binario
Lascia aa-genprof in esecuzione nel terminale, avvia il programma ed esegui il piano di test che hai progettato sopra. Più completo è il tuo piano di test, meno problemi avrai in seguito.
Dopo aver terminato di eseguire il piano di test, torna al terminale e premi il tasto S chiave per eseguire la scansione del log di sistema per gli eventi AppArmor.
Per ogni evento, ti verrà richiesto di scegliere un'azione. Per esempio, sotto possiamo vedere che / usr / bin / man, che abbiamo profilato, eseguito / usr / bin / tbl. Possiamo selezionare se / usr / bin / tbl deve ereditare le impostazioni di sicurezza di / usr / bin / man, se deve essere eseguito con il proprio profilo AppArmor o se deve essere eseguito in modalità non definita.
Per alcune altre azioni, vedrai diversi prompt - qui stiamo permettendo l'accesso a / dev / tty, un dispositivo che rappresenta il terminale
Alla fine del processo, ti verrà richiesto di salvare il tuo nuovo profilo AppArmor.
Abilitazione della modalità Reclami e modifica del profilo
Dopo aver creato il profilo, inserirlo in "modalità reclamo", in cui AppArmor non limita le azioni che può intraprendere, ma registra eventuali restrizioni che altrimenti si verificherebbero:
sudo aa-lamentarsi / percorso / a / binario
Utilizzare il programma normalmente per un po '. Dopo averlo usato normalmente in modalità lamentela, eseguire il comando seguente per analizzare gli errori di registro del sistema e aggiornare il profilo:
sudo aa-logprof
Utilizzare la modalità Applica per bloccare l'applicazione
Dopo aver completato la regolazione del profilo AppArmor, abilitare "enforce mode" per bloccare l'applicazione:
sudo aa-enforce / path / to / binary
Potresti voler eseguire il sudo aa-logprof comando in futuro per modificare il tuo profilo.
I profili AppArmor sono file di solo testo, quindi puoi aprirli in un editor di testo e modificarli a mano. Tuttavia, le utilità sopra riportate ti guidano attraverso il processo.