AppArmor - un modul de implementare a siguranței bazat pe Linux spațiu de nume de control al accesului. AppArmor limitează programele individuale set de fișiere și caracteristici enumerate în conformitate cu normele 1003.1e POSIX.
AppArmor este instalat și încărcat implicit. Acesta utilizează profilurile de aplicații pentru a determina ce fișiere și permisiunile necesare aplicației. Unele pachete de instalare propriile profiluri și profiluri suplimentare pot fi găsite în pachetul AppArmor-profile.
Pentru a instala AppArmor-profile de tip pachet într-un terminal:
profile AppArmor au două moduri de execuție:
Fixation / formare. încălcări ale legii sunt rezolvate, iar profilul este stocat în jurnal. Util pentru testarea și dezvoltarea de noi profiluri
Reglementări / restricții. îndeamnă să urmeze profilul de politică, în timp ce se înregistrează, de asemenea, încălcarea în jurnal.
Pachetul AppArmor-utils conține utilitati linie de comandă pe care le puteți utiliza pentru a modifica modul de execuție AppArmor, profilul statutului de căutare, de a crea noi profiluri, etc.
2.-aa profil se plâng se traduce în modul de formare (se plâng).
3. aa-impună restricții are nevoie de modul de profil (aplicare).
4. profile AppArmor sunt localizate în directorul /etc/apparmor.d. Acesta poate fi folosit pentru a controla modul de toate profilurile. Introduceți următoarea comandă pentru a converti toate profilurile în modul de formare:
Traducerea tuturor profilurilor din regimul de restricții:
5. comanda apparmor_parser este folosit pentru a încărca un profil în kernel. Acesta poate fi, de asemenea, utilizat pentru a reîncărca profilul încărcat utilizând opțiunile # '- r #'. Pentru a descărca de tip:
6. /etc/init.d/apparmor servește pentru a reseta toate profilurile:
7. Directorul /etc/apparmor.d/disable pot fi partajate cu opțiunea apparmor_parser-R pentru a dezactiva profilul.
Pentru a activa un profil cu handicap elimina link-ul simbolic spre un profil în /etc/apparmor.d/disable/. Apoi încărcați opțiunea de profil utilizând # '- o #'.
8. AppArmor poate fi dezactivat, iar modulul de kernel descărcat cu următoarea comandă:
9. Pentru a reactiva AppArmor intra:
Înlocuiți profile.name la numele de profil pe care doriți să gestionați. De asemenea, este necesar să se înlocuiască / calea / spre / bin / cu calea vypolnenyaemogo fișier. De exemplu, pentru comanda ping utilizarea / bin / ping
profile AppArmor - sunt fișiere text simple, care sunt situate în /etc/apparmor.d/. Fișierele profil sunt numite calea completă la fișierele executabile pe care le gestionează, cu înlocuirea caracterului „/“ pe „“. De exemplu, /etc/apparmor.d/bin.ping - este profilul AppArmor pentru comanda / bin / ping.
Există două tipuri de bază de norme utilizate în profiluri:
1. căi de intrări (intrările Path): descrie ce depună cererea are acces la sistemul de fișiere. 2. Intrări permisiune (intrări posibilitate): determina ce dreptul de a limita procesul este permisă utilizarea.
Ca un exemplu, uita-te /etc/apparmor.d/bin.ping:
#include
/ Bin steaguri / ping = (plânge). calea către programul, gestionați profiluri, și de stabilire a unui modul de formare.
capacitatea de net_raw,. Permite aplicației acces la oportunități CAP_NET_RAW Posix.1e.
/ Bin / ping mixr,. Permite aplicației să citească și să execute fișierul.
După editarea unui fișier de profil, acesta trebuie să fie repornit. Pentru informații detaliate, consultați Utilizarea AppArmor
1. Elaborarea unui plan de testare. Încercați să se gândească la modul în care aplicația va rula. Planul de testare ar trebui să fie împărțite în blocuri de testare mici. Fiecare unitate de testare ar trebui să aibă o scurtă descriere și o listă de pași de implementare. Unele blocuri de testare standard:
2. Crearea unui nou profil. Utilizați-aa genprof pentru a crea un nou profil. Comanda în terminal:
3. Pentru a obține profilul dvs. nou în compoziția pachetul AppArmor-profile. înregistra problemă în Launchpad pentru pachetul AppArmor.
Includeți planul de testare și de blocuri de testare.
Atașați noul profil pentru bug-ul a raportat.
În cazul în care programul nu se comportă corect, analiza mesajele trimise fișierele jurnal. Programul AA-logprof poate fi folosit pentru a scana fișierele jurnal pentru mesajele de audit AppArmor, le (analiză) și profiluri de actualizare revizuire. Comanda în terminal:
Consultați Ghidul de administrare AppArmor pentru opțiuni suplimentare de configurare.
Pentru a clarifica utilizarea AppArmor cu alte versiuni de Ubuntu vezi pagina AppArmor Community Wiki.
Pagina OpenSUSE AppArmor - o altă introducere în AppArmor.
Un loc bun pentru sprijin întrebări AppArmor și implicarea în comunitate Ubuntu Server - canal IRC # ubuntu-server de pe Freenode.