Application Citrix Workspace

Configurer la liste verte pour les applications qui utilisent les fonctionnalités LD_PRELOAD

November 6, 2024

Contributeur:

Remarque :

La configuration de la liste verte à l’aide de la fonctionnalité LD_PRELOAD n’est disponible que pour l’application Citrix Workspace pour Linux.

App Protection bloque le lancement d’une session protégée si d’autres applications en cours d’exécution utilisent LD_PRELOAD. S’il existe des applications authentiques ou si elles sont approuvées par l’administrateur, vous pouvez utiliser la fonctionnalité de liste verte. Pour autoriser l’utilisation d’autres applications utilisant LD_PRELOAD, vous devez configurer la liste verte.

App Protection empêche le démarrage d’une session protégée si d’autres applications utilisant LD_PRELOAD sont en cours d’exécution. Mais s’il existe des applications légitimes ou si l’administrateur les approuve, vous pouvez utiliser la fonctionnalité de liste verte. Pour autoriser l’exécution de ces applications, vous devez configurer la liste verte.

Vous pouvez ajouter des applications dotées de fonctionnalités de préchargement à la liste verte en procédant comme suit :

Identifiez le processus qui empêche le démarrage de la session VDA/d’application protégée.
Créez un fichier de configuration pour la liste verte, puis ajoutez le processus identifié.

Identifier le processus empêchant le lancement d’un VDA protégé

Lorsqu’AppProtection empêche le lancement d’un VDA protégé en raison de l’utilisation de LD_PRELOAD, vérifiez les processus à l’aide de LD_PRELOAD. Les processus authentiques peuvent être ajoutés à la liste verte.

Pour identifier les processus utilisant LD_PRELOAD, exécutez le script suivant. Enregistrez-le avec l’extension .sh et exécutez-le en tant que sudo dans une fenêtre de terminal :

     #!/bin/bash

      for pid in /proc/*/; do
          pid=${pid%*/}
          pid=${pid##*/}
          environ_file="/proc/$pid/environ"

          if [[ !   -f "$environ_file" ]]; then
              continue
          fi

          ld_preload_entry=$(tr '\0' '\n' < "$environ_file" | grep -w "LD_PRELOAD")
          if [[ -n "$ld_preload_entry" ]]; then
              cmdline_file="/proc/$pid/cmdline"
              cmdline=$(tr '\0' ' ' < "$cmdline_file" | awk '{print $1}')
              echo "\"$ld_preload_entry\" : \"$cmdline\""
          fi
      done
<!--NeedCopy-->

En fonction de la sortie du script précédent, identifiez les processus à l’origine de l’échec du lancement du VDA protégé, puis ajoutez-les à la liste verte.

Voici un exemple d’image affichant la sortie avec une liste d’applications et une liste de préchargement.

Affichage de la sortie

Création du fichier de configuration de la liste verte

Le fichier de configuration de la liste verte n’est pas installé par défaut pour des raisons de sécurité. Vous devez créer ce fichier de configuration la première fois que vous en avez besoin.

Créez un fichier vide nommé AppProtection_Preload_AllowList.json dans le dossier « $ICAROOT/config/ ».

Ajoutez les détails du processus au format suivant :

      { 
          "LD_PRELOAD_PATH1" : "PROCESS_PATH1",
          "LD_PRELOAD_PATH2" : "PROCESS_PATH2"
      }
<!--NeedCopy-->

Voici un exemple d’image affichant la configuration récemment ajoutée : Fichier de configuration

Enregistrez le fichier, puis définissez les autorisations pour le fichier AppProtection_Preload_AllowList.json à l’aide de la commande suivante.

sudo chmod 644 $ICAROOT/config/AppProtection_Preload_Allowlist.json

Remarque :

Des expressions régulières minimales sont autorisées dans les entrées de configuration pour éviter la redondance. Les caractères d’expression régulière spéciaux doivent être vérifiés et remplacés par une double barre oblique inverse (\).

Par exemple, la sortie du script est la suivante :

LD_PRELOAD=:/snap/blue-recorder/126/$LIB/bindtextdomain.so" : "/snap/blue-recorder/126/blue-recorder

Vous pouvez voir que la sortie inclut ‘.’, ‘$’qui sont des caractères spéciaux dans les modèles regex. Vous devez donc les échapper en utilisant une barre oblique inverse comme suit :

LD_PRELOAD=:/snap/blue-recorder/126/\\$LIB/bindtextdomain\\.so" : "/snap/blue-recorder/126/blue-recorder

Pour utiliser des éléments variables tels que le nombre 126, des expressions régulières peuvent être utilisées pour une entrée de liste verte plus générique :

LD_PRELOAD=:/snap/blue-recorder/\\d+/\\$LIB/bindtextdomain\\.so" : "/snap/blue-recorder/\\d+/blue-recorder

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Configurer la liste verte pour les applications qui utilisent les fonctionnalités LD_PRELOAD

November 6, 2024

Contributeur:

November 6, 2024

Contributeur:

Dans cet article

Identifier le processus empêchant le lancement d’un VDA protégé
Création du fichier de configuration de la liste verte

Cela vous a-t-il été utile ?