الصفحة الرئيسية » howto » كيفية إنشاء AppArmor لمحات عن تأمين البرامج على أوبونتو

    كيفية إنشاء AppArmor لمحات عن تأمين البرامج على أوبونتو

    يقوم AppArmor بإغلاق البرامج على نظام Ubuntu الخاص بك ، مما يسمح لهم فقط بالأذونات التي يحتاجونها في الاستخدام العادي - مفيدة بشكل خاص لبرامج الخادم التي قد تصبح معرضة للخطر. يتضمن AppArmor أدوات بسيطة يمكنك استخدامها لتأمين التطبيقات الأخرى.

    يتم تضمين AppArmor افتراضيًا في Ubuntu وبعض توزيعات Linux الأخرى. Ubuntu السفن AppArmor مع العديد من التشكيلات ، ولكن يمكنك أيضا إنشاء ملفات تعريف AppArmor الخاصة بك. يمكن لأدوات AppArmor مراقبة تنفيذ البرنامج ومساعدتك على إنشاء ملف تعريف.

    قبل إنشاء ملف التعريف الخاص بك للتطبيق ، قد ترغب في التحقق من حزمة ملفات apparmor- في مستودعات Ubuntu لمعرفة ما إذا كان يوجد بالفعل ملف تعريف للتطبيق الذي تريد حصره.

    إنشاء وتشغيل خطة اختبار

    ستحتاج إلى تشغيل البرنامج بينما يشاهده AppArmor ويمشي خلال جميع وظائفه العادية. في الأساس ، يجب عليك استخدام البرنامج حيث سيتم استخدامه في الاستخدام العادي: بدء البرنامج ، ووقفه ، وإعادة تحميله ، واستخدام جميع ميزاته. يجب عليك تصميم خطة اختبار تمر عبر المهام التي يحتاجها البرنامج.

    قبل تشغيل خطة الاختبار ، قم بتشغيل وحدة طرفية وتشغيل الأوامر التالية لتثبيت وتشغيل aa-genprof:

    sudo apt-get install apparmor-utils

    sudo aa-genprof / path / to / binary

    اترك aa-genprof قيد التشغيل في المحطة ، وابدأ البرنامج ، وقم بتشغيل خطة الاختبار التي قمت بتصميمها أعلاه. كلما كانت خطة الاختبار أكثر شمولاً ، قلت المشكلات التي ستواجهها لاحقًا.

    بعد الانتهاء من تنفيذ خطة الاختبار ، عد إلى المحطة واضغط على S مفتاح لفحص سجل النظام لأحداث AppArmor.

    لكل حدث ، ستتم مطالبتك باختيار إجراء. على سبيل المثال ، أدناه يمكننا أن نرى ذلك / usr / bin / man ، الذي حددناه ، أعدم / usr / bin / tbl. يمكننا تحديد ما إذا كان يجب أن يرث / usr / bin / tbl إعدادات أمان / usr / bin / man ، سواء كان يجب تشغيله باستخدام ملف تعريف AppArmor الخاص به ، أو ما إذا كان يجب تشغيله في وضع غير محصور.

    بالنسبة لبعض الإجراءات الأخرى ، سترى مطالبات مختلفة - هنا سنسمح بالوصول إلى / dev / tty ، وهو جهاز يمثل الطرفية

    في نهاية العملية ، ستتم مطالبتك بحفظ ملفك الشخصي في AppArmor.

    تمكين وضع الشكاوي والتغيير والتبديل في ملف التعريف

    بعد إنشاء الملف الشخصي ، ضعه في "وضع الشكوى" ، حيث لا يقيد AppArmor الإجراءات التي يمكنه اتخاذها ، بل يسجل بدلاً من ذلك أي قيود قد تحدث في الحالات التالية:

    sudo aa-complain / path / to / binary

    استخدم البرنامج عادة لفترة من الوقت. بعد استخدامه بشكل عادي في وضع الشكوى ، قم بتشغيل الأمر التالي لفحص سجلات النظام بحثًا عن الأخطاء وتحديث ملف التعريف:

    sudo aa-logprof

    استخدام فرض وضع لأسفل التطبيق

    بعد الانتهاء من ضبط ملف تعريف AppArmor الخاص بك ، قم بتمكين "فرض الوضع" لتأمين التطبيق:

    sudo aa-enforce / path / to / binary

    قد ترغب في تشغيل sudo aa-logprof الأمر في المستقبل لضبط ملفك الشخصي.


    التشكيلات الجانبية AppArmor هي ملفات نصية بسيطة ، بحيث يمكنك فتحها في محرر نصوص وتعديلها باليد. ومع ذلك ، فإن الأدوات المساعدة أعلاه ترشدك خلال العملية.