章 2. 選擇要以免疫保護的程式

內容目錄

2.1. 免疫保護會授與權限的程式
2.2. 檢查已開啟連接埠來保護程式

NovellŪ AppArmor 會隔離程式,保護系統的其餘部分不受到危害程序損壞。您應該檢查連接埠,看看哪些程式應該進行設定 (請參閱 節 2.2, "檢查已開啟連接埠來保護程式" (↑Novell AppArmor 2.0 管理指南)),並為所有會授與權限的程式進行設定 (節 2.1, "免疫保護會授與權限的程式" (↑Novell AppArmor 2.0 管理指南))。


2.1. 免疫保護會授與權限的程式

需要建立設定檔的程式是指那些調解權限的程式。下列程式具有程式使用者本身沒有的資源存取權限,所以它們會在使用者使用時授與該使用者權限:

Cron 工作

定期由 Cron 執行的程式。這類程式會從各種資源讀取輸入,而且可以透過特別權限執行;有時候會用到最大的 root 權限。舉例來說,Cron 可以每天執行 /usr/bin/updatedb 來更新本機資料庫,以便透過有效權限來讀取每個位在系統的檔案名稱。如需尋找這些程式類型的指示,請參閱 節 2.2.1, "以免疫的方式保護 Cron 工作" (↑Novell AppArmor 2.0 管理指南)

網頁應用程式

您可以透過網頁瀏覽器來呼叫 CGI Perl 程序檔、PHP 網頁和其他更複雜的網頁應用程式。如需尋找這些程式類型的指示,請參閱 節 2.2.2, "以免疫方式保護網路應用程式" (↑Novell AppArmor 2.0 管理指南)

網路代辦程式

程式 (伺服器和用戶端) 具有開啟的網路埠。使用者用戶端 (如郵件用戶端和網頁瀏覽器) 也意外的擁有調解權限。這些程式可透過權限執行寫入使用者的主目錄,而且它們會處理來自潛在風險遠端來源的輸入,例如具潛在風險的網站和電子郵件形式傳遞的惡意程式碼。如需尋找這些程式類型的指示,請參閱 節 2.2.3, "以免疫方式保護網路代辦程式" (↑Novell AppArmor 2.0 管理指南)

相反地,不授與權限的程式就不需要進行設定。例如,外圍程序檔可能會啟用 cp 程式來複製檔案。由於 cp 本身並沒有設定檔,所以它會繼承父代外圍程序檔的設定檔,以便複製該父代外圍程序檔可以讀取和寫入的任何檔案。