Cara Membuat Profil AppArmor untuk Mengunci Program di Ubuntu
AppArmor mengunci program pada sistem Ubuntu Anda, yang memungkinkan mereka hanya izin yang mereka butuhkan dalam penggunaan normal - khususnya berguna untuk perangkat lunak server yang dapat dikompromikan. AppArmor termasuk alat sederhana yang dapat Anda gunakan untuk mengunci aplikasi lain.
AppArmor disertakan secara default di Ubuntu dan beberapa distribusi Linux lainnya. Ubuntu mengirimkan AppArmor dengan beberapa profil, tetapi Anda juga dapat membuat profil AppArmor Anda sendiri. Utilitas AppArmor dapat memantau pelaksanaan program dan membantu Anda membuat profil.
Sebelum membuat profil Anda sendiri untuk suatu aplikasi, Anda mungkin ingin memeriksa paket apparmor-profil di repositori Ubuntu untuk melihat apakah profil untuk aplikasi yang ingin Anda batasi sudah ada.
Buat & Menjalankan Rencana Tes
Anda harus menjalankan program saat AppArmor menontonnya dan menjalankan semua fungsi normalnya. Pada dasarnya, Anda harus menggunakan program seperti yang akan digunakan dalam penggunaan normal: mulai program, hentikan, muat ulang, dan gunakan semua fitur-fiturnya. Anda harus merancang rencana pengujian yang melewati fungsi-fungsi yang perlu dilakukan program.
Sebelum menjalankan rencana pengujian Anda, luncurkan terminal dan jalankan perintah berikut untuk menginstal dan menjalankan aa-genprof:
sudo apt-get instal apparmor-utils
sudo aa-genprof / path / ke / binary
Biarkan a-genprof berjalan di terminal, mulai program, dan jalankan melalui rencana pengujian yang Anda rancang di atas. Semakin komprehensif rencana pengujian Anda, semakin sedikit masalah yang akan Anda hadapi nanti.
Setelah Anda selesai menjalankan rencana pengujian Anda, kembali ke terminal dan tekan S kunci untuk memindai log sistem untuk peristiwa AppArmor.
Untuk setiap acara, Anda akan diminta untuk memilih tindakan. Sebagai contoh, di bawah ini kita dapat melihat bahwa / usr / bin / man, yang kita profil, dieksekusi / usr / bin / tbl. Kita dapat memilih apakah / usr / bin / tbl harus mewarisi pengaturan keamanan / usr / bin / man, apakah harus dijalankan dengan profil AppArmor sendiri, atau apakah harus dijalankan dalam mode tidak terbatas.
Untuk beberapa tindakan lain, Anda akan melihat petunjuk berbeda - di sini kami mengizinkan akses ke / dev / tty, perangkat yang mewakili terminal
Di akhir proses, Anda akan diminta untuk menyimpan profil AppArmor baru Anda.
Mengaktifkan Mode Keluhan & Tweak Profil
Setelah membuat profil, masukkan ke dalam "mode pengaduan," di mana AppArmor tidak membatasi tindakan yang dapat diambilnya, melainkan mencatat segala pembatasan yang akan terjadi:
sudo aa-complain / path / ke / binary
Gunakan program ini secara normal untuk sementara waktu. Setelah menggunakannya secara normal dalam mode komplain, jalankan perintah berikut untuk memindai kesalahan sistem Anda dan perbarui profil:
sudo aa-logprof
Menggunakan Mode Berlaku untuk Mengunci Aplikasi
Setelah Anda selesai mengatur profil AppArmor Anda, aktifkan "mode penegakan" untuk mengunci aplikasi:
sudo aa-menegakkan / path / ke / biner
Anda mungkin ingin menjalankan sudo aa-logprof perintah di masa depan untuk mengubah profil Anda.
Profil AppArmor adalah file teks biasa, sehingga Anda dapat membukanya di editor teks dan men-tweak dengan tangan. Namun, utilitas di atas memandu Anda melalui proses.