AppArmor mengunci program pada sistem Ubuntu Anda, memungkinkan mereka hanya izin yang mereka butuhkan dalam penggunaan normal - terutama berguna untuk perangkat lunak server yang dapat dikompromikan. AppArmor menyertakan alat sederhana yang dapat Anda gunakan untuk mengunci aplikasi lain.
AppArmor disertakan secara default di Ubuntu dan beberapa distribusi Linux lainnya. Kapal Ubuntu AppArmor dengan beberapa profil, tetapi Anda juga dapat membuat profil AppArmor Anda sendiri. Utilitas AppArmor dapat memantau eksekusi program dan membantu Anda membuat profil.
Sebelum membuat profil Anda sendiri untuk aplikasi, Anda mungkin ingin memeriksa paket apparmor-profiles di repositori Ubuntu untuk melihat apakah profil untuk aplikasi yang ingin Anda batasi sudah ada.
Anda harus menjalankan program sementara AppArmor menontonnya dan berjalan melalui semua fungsi normalnya. Pada dasarnya, Anda harus menggunakan program seperti yang akan digunakan dalam penggunaan normal: memulai program, menghentikannya, memuatnya kembali, dan menggunakan semua fitur-fiturnya. Anda harus merancang rencana pengujian yang melewati fungsi-fungsi yang perlu dilakukan oleh program.
Sebelum menjalankan rencana pengujian Anda, luncurkan terminal dan jalankan perintah berikut untuk menginstal dan menjalankan aa-genprof:
sudo apt-get install apparmor-utils
sudo aa-genprof / path / ke / binary
Tinggalkan aa-genprof yang berjalan di terminal, jalankan program, dan jalankan melalui rencana pengujian yang Anda rancang di atas. Semakin komprehensif rencana uji Anda, semakin sedikit masalah yang akan Anda hadapi nanti.
Setelah Anda selesai menjalankan rencana pengujian Anda, kembalilah ke terminal dan tekan S kunci untuk memindai log sistem untuk acara AppArmor.
Untuk setiap acara, Anda akan diminta untuk memilih suatu tindakan. Sebagai contoh, di bawah ini kita dapat melihat bahwa / usr / bin / man, yang kita profilkan, dieksekusi / usr / bin / tbl. Kita dapat memilih apakah / usr / bin / tbl harus mewarisi pengaturan keamanan / usr / bin / man, apakah itu akan berjalan dengan profil AppArmornya sendiri, atau apakah ia akan berjalan dalam mode bebas.
Untuk beberapa tindakan lain, Anda akan melihat petunjuk yang berbeda - di sini kami mengizinkan akses ke / dev / tty, perangkat yang mewakili terminal
Di akhir proses, Anda akan diminta untuk menyimpan profil AppArmor baru Anda.
Setelah membuat profil, masukkan ke dalam "mode komplain", di mana AppArmor tidak membatasi tindakan yang dapat dilakukan tetapi log setiap pembatasan yang seharusnya terjadi:
sudo aa-complain / path / to / binary
Gunakan program ini secara normal untuk sementara waktu. Setelah menggunakannya secara normal dalam mode komplain, jalankan perintah berikut untuk memindai log sistem Anda untuk kesalahan dan memperbarui profil:
sudo aa-logprof
Setelah Anda selesai menyempurnakan profil AppArmor Anda, aktifkan "mode penegakkan" untuk mengunci aplikasi:
sudo aa-enforce / path / to / binary
Anda mungkin ingin menjalankan sudo aa-logprof perintah di masa depan untuk menyesuaikan profil Anda.
Profil AppArmor adalah file teks biasa, sehingga Anda dapat membukanya dalam editor teks dan menyesuaikannya dengan tangan. Namun, utilitas di atas memandu Anda melalui proses tersebut.
