ubuntuでプログラムをロックするapparmorプロファイルを作成する方法

AppArmorはあなたのUbuntuシステム上のプログラムをロックします。通常の使用で必要な権限のみを許可します。特に、侵害される可能性のあるサーバソフトウェアには便利です。 AppArmorには、他のアプリケーションをロックダウンするための簡単なツールが含まれています。

AppArmorは、Ubuntuやその他のLinuxディストリビューションにはデフォルトで含まれています。 Ubuntuにはいくつかのプロファイルが付属していますが、独自のAppArmorプロファイルを作成することもできます。 AppArmorのユーティリティは、プログラムの実行を監視し、プロファイルを作成するのに役立ちます。

アプリケーションの独自のプロファイルを作成する前に、Ubuntuのリポジトリ内のapparmor-profilesパッケージをチェックして、閉じ込めたいアプリケーションのプロファイルがすでに存在するかどうかを確認してください。

AppArmorがそれを見ている間にプログラムを実行し、すべての通常の機能を実行する必要があります。基本的には、プログラムの起動、停止、再ロード、およびすべての機能の使用など、通常使用されるプログラムを使用する必要があります。プログラムが実行する必要がある機能を実行するテスト計画を設計する必要があります。

テスト計画を実行する前に、端末を起動し、次のコマンドを実行してaa-genprofをインストールして実行してください

sudo apt-get install apparmor-utils

sudo aa-genprof / path / to / binary

ターミナルでaa-genprofを実行したままにして、プログラムを起動し、上で設計したテストプランを実行します。テスト計画がより包括的であれば、後で実行する問題は少なくなります。

テスト計画の実行が完了したら、端末に戻り、Sキーを押してAppArmorイベントのシステムログをスキャンします。

各イベントごとに、アクションを選択するように求められます。たとえば、プロファイルを作成した/ usr / bin / manが/ usr / bin / tblを実行していることがわかります。 / usr / bin / tblが/ usr / bin / manのセキュリティ設定を継承するかどうか、それを独自のAppArmorプロファイルで実行するかどうか、または非制限モードで実行するかどうかを選択できます。

他のアクションでは、さまざまなプロンプトが表示されます。ここでは/ dev / ttyへのアクセスを許可しています。これは端末を表すデバイスです

プロセスの最後に、新しいAppArmorプロファイルを保存するように指示されます。

プロファイルを作成した後、AppArmorが実行できるアクションを制限するのではなく、それ以外の場合に発生する制限をログに記録する「不平モード」に入れます

sudo aa-complain / path / to / binary

プログラムはしばらく使用してください。通常はcomplainモードで使用した後、次のコマンドを実行してシステムログでエラーをスキャンし、プロファイルを更新します

sudo aa-logprof

AppArmorプロファイルを微調整した後、アプリケーションをロックダウンするために「強制モード」を有効にします

sudo aa-enforce / path / to / binary

あなたのプロフィールを微調整するために、将来sudo aa-logprofコマンドを実行したいかもしれません。

AppArmorプロファイルはプレーンテキストファイルなので、テキストエディタで開いて手動で調整することができます。ただし、上記のユーティリティーはプロセスをガイドします。

これは、Windows Vista&7のユーザーアカウント制御のようなものです。

これはWindows UACのようなものではありませんが、このようなものが必要です。私は、M $は実行可能ファイルの書き込みアクションを禁止するべきだと思う。

大部分のマペットは右利きであるため、ほとんどのマペットは左利きである(そして、優位な手とその支配的な手でマペットの頭を操作することを好む)。