Cómo crear perfiles de aplicaciones para bloquear programas en Ubuntu
AppArmor bloquea los programas en su sistema Ubuntu, permitiéndoles solo los permisos que requieren en el uso normal, especialmente útil para el software de servidor que pueda verse comprometido. AppArmor incluye herramientas simples que puede usar para bloquear otras aplicaciones.
AppArmor se incluye de forma predeterminada en Ubuntu y en algunas otras distribuciones de Linux. Ubuntu distribuye AppArmor con varios perfiles, pero también puede crear sus propios perfiles de AppArmor. Las utilidades de AppArmor pueden monitorear la ejecución de un programa y ayudarlo a crear un perfil.
Antes de crear su propio perfil para una aplicación, es posible que desee verificar el paquete apparmor-profiles en los repositorios de Ubuntu para ver si ya existe un perfil para la aplicación que desea confinar..
Crear y ejecutar un plan de prueba
Necesitará ejecutar el programa mientras AppArmor lo está viendo y recorrer todas sus funciones normales. Básicamente, debe usar el programa como se usaría en el uso normal: inicie el programa, deténgalo, vuelva a cargarlo y use todas sus funciones. Debe diseñar un plan de prueba que cumpla con las funciones que debe realizar el programa.
Antes de ejecutar su plan de prueba, inicie un terminal y ejecute los siguientes comandos para instalar y ejecutar aa-genprof:
sudo apt-get install apparmor-utils
sudo aa-genprof / ruta / a / binario
Deje aa-genprof ejecutándose en el terminal, inicie el programa y ejecute el plan de prueba que diseñó anteriormente. Cuanto más completo sea su plan de prueba, menos problemas encontrará más adelante.
Una vez que haya terminado de ejecutar su plan de prueba, regrese a la terminal y presione S clave para escanear el registro del sistema para eventos de AppArmor.
Para cada evento, se le pedirá que elija una acción. Por ejemplo, a continuación podemos ver que / usr / bin / man, que perfilamos, ejecutamos / usr / bin / tbl. Podemos seleccionar si / usr / bin / tbl debe heredar las configuraciones de seguridad de / usr / bin / man, si debe ejecutarse con su propio perfil de AppArmor o si debe ejecutarse en modo no limitado..
Para otras acciones, verá diferentes indicaciones: aquí estamos permitiendo el acceso a / dev / tty, un dispositivo que representa el terminal
Al final del proceso, se le pedirá que guarde su nuevo perfil de AppArmor.
Habilitar el modo de queja y ajustar el perfil
Después de crear el perfil, póngalo en "modo de queja", donde AppArmor no restringe las acciones que puede tomar, sino que registra cualquier restricción que de lo contrario ocurriría:
sudo aa-queja / ruta / a / binario
Utilice el programa normalmente por un tiempo. Después de usarlo normalmente en modo de queja, ejecute el siguiente comando para analizar los registros de su sistema en busca de errores y actualizar el perfil:
sudo aa-logprof
Usando el modo Enforce para bloquear la aplicación
Una vez que haya terminado de ajustar su perfil de AppArmor, habilite el "modo de ejecución" para bloquear la aplicación:
sudo aa-enforce / path / to / binary
Es posible que desee ejecutar el sudo aa-logprof Comando en el futuro para ajustar su perfil..
Los perfiles de AppArmor son archivos de texto sin formato, por lo que puede abrirlos en un editor de texto y modificarlos a mano. Sin embargo, las utilidades anteriores lo guían a través del proceso..