Ubuntu에서 프로그램을 잠그는 AppArmor 프로필을 만드는 방법

AppArmor는 우분투 시스템의 프로그램을 잠 그어 일반적인 사용에 필요한 권한 만 허용합니다. 특히 취약한 서버 소프트웨어에 유용합니다. AppArmor에는 다른 응용 프로그램을 잠그는 데 사용할 수있는 간단한 도구가 포함되어 있습니다..

AppArmor는 기본적으로 우분투 및 일부 다른 Linux 배포판에 포함되어 있습니다. 우분투는 여러 프로필을 가지고 AppArmor를 제공하지만 자신 만의 AppArmor 프로필을 만들 수도 있습니다. AppArmor의 유틸리티는 프로그램의 실행을 모니터링하고 프로파일을 생성하는 데 도움을줍니다..

응용 프로그램에 대한 자신의 프로필을 만들기 전에 Ubuntu의 저장소에서 apparmor-profiles 패키지를 확인하여 제한하려는 응용 프로그램의 프로필이 이미 존재하는지 확인하십시오.

테스트 계획 만들기 및 실행

AppArmor이 프로그램을보고있는 동안 프로그램을 실행하고 모든 정상적인 기능을 수행해야합니다. 기본적으로, 프로그램을 시작하고, 중지하고, 다시로드하고, 모든 기능을 사용하는 일반적인 용도로 사용되는 프로그램을 사용해야합니다. 프로그램이 수행해야하는 기능을 수행하는 테스트 계획을 설계해야합니다..

테스트 계획을 실행하기 전에 터미널을 실행하고 다음 명령을 실행하여 aa-genprof를 설치하고 실행하십시오.

sudo apt-get install apparmor-utils

sudo aa-genprof / path / to / binary

터미널에서 aa-genprof를 실행 한 채로두고 프로그램을 시작하고 위에서 설계 한 테스트 계획을 실행하십시오. 테스트 계획이 포괄적 일수록 나중에 발생할 문제는 줄어 듭니다..

테스트 계획을 실행 한 후에 터미널로 돌아가서 에스 AppArmor 이벤트에 대한 시스템 로그를 검사하는 키.

각 이벤트에 대해 작업을 선택하라는 메시지가 표시됩니다. 예를 들어 아래에서 우리가 프로파일 링 한 / usr / bin / man이 / usr / bin / tbl을 실행했다는 것을 알 수 있습니다. / usr / bin / tbl이 / usr / bin / man의 보안 설정을 상속할지 여부, 자체 AppArmor 프로필로 실행할지 여부 또는 제한되지 않은 모드에서 실행해야하는지 여부를 선택할 수 있습니다.

다른 동작들에 대해서는 다른 프롬프트를 보게 될 것입니다 - 여기서 우리는 터미널을 나타내는 장치 인 / dev / tty에 접근 할 수 있습니다

프로세스가 끝나면 새로운 AppArmor 프로필을 저장하라는 메시지가 나타납니다..

불평 모드 활성화 및 프로필 조정

프로파일을 생성 한 후 AppArmor가 수행 할 수있는 작업을 제한하지 않고 달리 발생하는 제한 사항을 기록하는 "불평 모드"에 넣습니다.

sudo aa-complain / path / to / binary

프로그램을 정상적으로 잠시 사용하십시오. 정상적으로 불평 모드에서 사용한 후 다음 명령을 실행하여 시스템 로그에서 오류를 검사하고 프로필을 업데이트하십시오.

sudo aa-logprof

적용 모드를 사용하여 응용 프로그램 잠금

AppArmor 프로파일을 세부적으로 조정 한 후 "적용 모드"를 활성화하여 응용 프로그램을 잠급니다.

sudo aa-enforce / path / to / binary

당신은 sudo aa-logprof 앞으로 귀하의 프로필을 조정할 명령.

AppArmor 프로필은 일반 텍스트 파일이므로 텍스트 편집기에서 열어서 직접 수정할 수 있습니다. 그러나 위의 유틸리티는 프로세스를 안내합니다..