AppArmor : प्रोफ़ाइल बनाएं : aa-autodep2024/06/18 |
|
[aa-autodep] कमांड के साथ किसी प्रोग्राम के लिए एक प्रोफ़ाइल बनाएं। [aa-genprof] से भिन्न बिंदु यह है कि [aa-autodep] एक खाली प्रोफ़ाइल बनाता है और तुरंत समाप्त कर देता है, और फिर लक्ष्य प्रोग्राम को [complain] मोड नियंत्रण में दर्ज किया जाता है। |
|
| [1] | उदाहरण के लिए, [aa-autodep] कमांड के साथ सांबा के लिए एक प्रोफ़ाइल बनाएं। |
|
# Samba के लिए एक प्रोफ़ाइल बनाएं root@dlp:~# aa-autodep /usr/sbin/smbd Writing updated profile for /usr/sbin/smbd. # इसे [complain] मोड में दर्ज किया गया है root@dlp:~# aa-status ..... ..... 3 processes are unconfined but have a profile defined. /usr/sbin/smbd (8492) /usr/sbin/smbd (8496) /usr/sbin/smbd (8497) ..... ..... # इसके बाद, इसे [complain] मोड में आवश्यक संचालन सीखने की जरूरत है # Samba जैसे बड़े पैमाने के अनुप्रयोग के लिए, इसे कई आवश्यक संचालन सीखने की आवश्यकता है # लंबे समय तक लॉग में, शायद कुछ महीनों में # लॉग में प्रत्येक अनधिकृत कार्रवाई के लिए चरण दर चरण नीति निर्धारित करें root@dlp:~# aa-logprof Updating AppArmor profiles in /etc/apparmor.d. Reading log entries from /var/log/syslog. Complain-mode changes: Profile: /usr/sbin/smbd Path: /var/log/samba/log.smbd New Mode: owner w Severity: 8 [1 - include <abstractions/samba>] 2 - owner /var/log/samba/log.smbd w, (A)llow / [(D)eny] / (I)gnore / (G)lob / Glob with (E)xtension / (N)ew / Audi(t) / (O)wner permissions off / Abo(r)t / (F)inish Adding include <abstractions/samba> to profile. Profile: /usr/sbin/smbd Network Family: netlink Socket Type: raw [1 - include <abstractions/nameservice>] 2 - network netlink raw, (A)llow / [(D)eny] / (I)gnore / Audi(t) / Abo(r)t / (F)inish ..... ..... # यदि प्रोफ़ाइल अंततः पूरी हो गई है, तो लक्ष्य ऐप की सुरक्षा के लिए [enforce] मोड पर जाएँ root@dlp:~# aa-enforce /usr/sbin/smbd |
| [2] | वैसे, यह यहां पर [aa-autodep] के साथ एक प्रोफ़ाइल बनाने के लिए एक उदाहरण के रूप में Samba का उपयोग करता है, हालांकि, कुछ प्रोफ़ाइल सांबा जैसे प्रसिद्ध और अक्सर उपयोग किए जाने वाले अनुप्रयोगों के लिए एक पैकेज के रूप में प्रदान की जाती हैं। |
|
root@dlp:~#
root@dlp:~# apt -y install apparmor-profiles dpkg -L apparmor-profiles /. /etc /etc/apparmor.d /etc/apparmor.d/apache2.d /etc/apparmor.d/apache2.d/phpsysinfo /etc/apparmor.d/bin.ping /etc/apparmor.d/local /etc/apparmor.d/php-fpm /etc/apparmor.d/samba-bgqd /etc/apparmor.d/samba-dcerpcd /etc/apparmor.d/samba-rpcd /etc/apparmor.d/samba-rpcd-classic /etc/apparmor.d/samba-rpcd-spoolss /etc/apparmor.d/sbin.klogd /etc/apparmor.d/sbin.syslog-ng /etc/apparmor.d/sbin.syslogd /etc/apparmor.d/usr.sbin.avahi-daemon /etc/apparmor.d/usr.sbin.dnsmasq /etc/apparmor.d/usr.sbin.identd /etc/apparmor.d/usr.sbin.mdnsd /etc/apparmor.d/usr.sbin.nmbd /etc/apparmor.d/usr.sbin.nscd /etc/apparmor.d/usr.sbin.smbd /etc/apparmor.d/usr.sbin.smbldap-useradd /etc/apparmor.d/usr.sbin.traceroute /usr /usr/share /usr/share/apparmor /usr/share/apparmor/extra-profiles ..... .....root@dlp:~# aa-status 135 profiles are loaded. 45 profiles are in enforce mode. /usr/bin/man /usr/bin/node /usr/lib/snapd/snap-confine /usr/lib/snapd/snap-confine//mount-namespace-capture-helper avahi-daemon dnsmasq dnsmasq//libvirt_leaseshelper identd klogd lsb_release man_filter man_groff mdnsd nmbd nscd nvidia_modprobe nvidia_modprobe//kmod php-fpm ping ..... ..... |
| Sponsored Link |