AppArmor je važna sigurnosna značajka koja jeUključeno je prema Ubuntuu od Ubuntua 7.10. No, tiho radi u pozadini, tako da možda niste svjesni što je i što radi.
AppArmor zaključava ranjive procese,ograničavanje sigurnosnih ranjivosti u tim procesima može uzrokovati. AppArmor se također može koristiti za zaključavanje Mozilla Firefox-a radi veće sigurnosti, ali to ne radi prema zadanim postavkama.
Što je AppArmor?
AppArmor je sličan SELinuxu, koristi se prema zadanim postavkamau Fedori i Red Hat-u. Iako rade drugačije, i AppArmor i SELinux pružaju sigurnost "obavezne kontrole pristupa" (MAC). U stvari, AppArmor omogućava programerima Ubuntua da ograniče postupke koje mogu poduzeti.
Na primjer, jedna aplikacija ograničena uZadana konfiguracija Ubuntua je Evince PDF preglednik. Iako se Evince može prikazivati kao vaš korisnički račun, može poduzeti samo određene radnje. Evince ima samo minimalni broj dozvola potrebnih za pokretanje i rad s PDF dokumentima. Ako se otkriva ranjivost u PDF-u Revendera Evincea i otvorite zlonamjeran PDF dokument koji je preuzeo Evince, AppArmor bi ograničio štetu koju Evince može napraviti. U tradicionalnom sigurnosnom modelu Linuxa, Evince bi imao pristup svemu čemu imate pristup. Uz AppArmor on ima pristup samo onim stvarima kojima PDF pregledač treba pristup.
AppArmor je osobito koristan za ograničavanje softvera koji se može iskoristiti, poput web preglednika ili poslužiteljskog softvera.
Pregledavanje statusa AppArmora
Da biste pogledali status AppArmora, u terminalu pokrenite sljedeću naredbu:
sudo apparmor_status
Vidjet ćete da li se AppArmor pokreće u vašem sustavu (radi se prema zadanim postavkama), instalirani profili AppArmor i ograničeni procesi koji se izvode.
Programi AppArmor
U AppArmoru su procesi ograničeni profilima. Gornji popis pokazuje nam protokole koji su instalirani na sustav - oni dolaze s Ubuntu. Također možete instalirati druge profile instaliranjem paketa profile apparmor. Neki paketi, na primjer, poslužiteljski softver - mogu biti isporučeni sa vlastitim AppArmor profilima koji su instalirani u sustav zajedno s paketom. Možete i stvoriti vlastite profile AppArmor za ograničavanje softvera.
Profili se mogu izvoditi u "načinu žalbe" ili "prisiljavanju"modu. "U načinu prisiljavanja - zadana postavka za profile koji dolaze s Ubuntu - AppArmor sprečava aplikacije da poduzimaju ograničene radnje. U načinu prigovaranja, AppArmor omogućava aplikacijama da poduzimaju ograničene radnje i stvara unos u zapisnik koji se žali zbog toga. Žalbeni način idealan je za testiranje AppArmor profila prije nego što ga omogućite u načinu prisile - vidjet ćete sve pogreške koje bi se pojavile u načinu prisiljavanja.
Profili su pohranjeni u /etc/apparmor.d direktoriju. Ti su profili u tekstu običnog teksta koji mogu sadržavati komentare.
Omogućivanje aplikacije AppArmor za Firefox
Također možete primijetiti da AppArmor dolazi s Firefox profilom - to je the usr.bin.firefox datoteku u /etc/apparmor.d imenik. Nije omogućeno prema zadanim postavkama jer može previše ograničiti Firefox i uzrokovati probleme. /etc/apparmor.d/disable mapa sadrži vezu na ovu datoteku, što ukazuje da je onemogućena.
Da biste omogućili profil Firefox i ogranili Firefox s AppArmorom, pokrenite sljedeće naredbe:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
mačka /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
Nakon što pokrenete ove naredbe, pokrenite sudo apparmor_status naredba opet i vidjet ćete da su Firefox profili sada učitani.
Da biste onemogućili Firefox profil ako uzrokuje probleme, pokrenite sljedeće naredbe:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Detaljnije informacije o korištenju AppArmora potražite na službenoj stranici Vodiča za Ubuntu na AppArmoru.
