AppArmor je důležitá bezpečnostní funkceve výchozím nastavení je součástí Ubuntu od Ubuntu 7.10. Běží však tiše na pozadí, takže si nemusíte být vědomi, co to je a co dělá.
AppArmor blokuje zranitelné procesy,omezení zranitelnosti zabezpečení v těchto procesech může způsobit. AppArmor lze také použít k uzamčení aplikace Mozilla Firefox pro zvýšení bezpečnosti, ale ve výchozím nastavení to nedělá.
Co je AppArmor?
AppArmor je podobný SELinuxu, používanému ve výchozím nastaveníve Fedoře a Red Hat. AppArmor i SELinux sice fungují jinak, ale poskytují „povinné řízení přístupu“ (MAC). AppArmor ve skutečnosti umožňuje vývojářům Ubuntu omezit akce, které mohou procesy provádět.
Například jedna aplikace, která je omezenaVýchozí konfigurace Ubuntu je prohlížeč PDF formátu Evince. I když může Evince běžet jako váš uživatelský účet, může provádět pouze konkrétní akce. Evince má pouze minimum potřebných oprávnění potřebných ke spuštění a práci s dokumenty PDF. Pokud byla zranitelnost objevena v vykreslovači PDF od Evince a otevřeli jste škodlivý dokument PDF, který převzal Evince, AppArmor by omezil škody, které Evince může způsobit. V tradičním modelu zabezpečení Linuxu měl Evince přístup ke všemu, k čemu máte přístup. S aplikací AppArmor má přístup pouze k věcem, ke kterým prohlížeč PDF potřebuje přístup.
AppArmor je zvláště užitečný pro omezení softwaru, který může být zneužit, jako je webový prohlížeč nebo serverový software.
Zobrazení stavu AppArmor
Chcete-li zobrazit stav AppArmor, spusťte v terminálu následující příkaz:
sudo apparmor_status
Uvidíte, zda je ve vašem systému spuštěn AppArmor (ve výchozím nastavení je spuštěn), nainstalované profily AppArmor a spuštěné omezené procesy.
Profily AppArmor
V AppArmor jsou procesy omezeny profily. Výše uvedený seznam ukazuje protokoly nainstalované v systému - tyto jsou dodávány s Ubuntu. Můžete také nainstalovat další profily instalací balíčku apparmor-profily. Některé balíčky - například serverový software - mohou mít vlastní profily AppArmor, které jsou nainstalovány v systému spolu s balíčkem. Můžete také vytvořit vlastní profily AppArmor a omezit tak software.
Profily mohou běžet v „stěžovacím režimu“ nebo „vymáhat“v režimu vynucení - výchozí nastavení profilů dodávaných s Ubuntu - AppArmor zabraňuje aplikacím provádět omezené akce. V režimu stížností AppArmor umožňuje aplikacím provádět omezené akce a vytváří záznam protokolu stěžující si na to. Režim stížnosti je ideální pro testování profilu AppArmor před jeho povolením v režimu vymáhání - uvidíte všechny chyby, které by se vyskytly v režimu vymáhání.
Profily jsou uloženy v adresáři /etc/apparmor.d. Tyto profily jsou soubory prostého textu, které mohou obsahovat komentáře.
Povolení aplikace AppArmor pro Firefox
Můžete si také všimnout, že AppArmor je dodáván s profilem Firefox - je to usr.bin.firefox soubor v /etc/apparmor.d adresář. Ve výchozím nastavení není povoleno, protože může Firefox příliš omezit a způsobit problémy. /etc/apparmor.d/disable Složka obsahuje odkaz na tento soubor, což znamená, že je zakázána.
Chcete-li povolit profil Firefox a omezit Firefox na AppArmor, spusťte následující příkazy:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
Po spuštění těchto příkazů spusťte sudo apparmor_status příkaz znovu a uvidíte, že profily Firefoxu jsou nyní načteny.
Chcete-li zakázat profil Firefox, pokud způsobuje problémy, spusťte následující příkazy:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Podrobnější informace o používání AppArmor naleznete na oficiální stránce Ubuntu Server Guide na AppArmor.
