AppArmor to ważna funkcja bezpieczeństwazostały domyślnie dołączone do systemu Ubuntu od wersji Ubuntu 7.10. Działa jednak cicho w tle, więc możesz nie wiedzieć, co to jest i co robi.
AppArmor blokuje wrażliwe procesy,ograniczenie podatności na uszkodzenia w tych procesach może powodować. AppArmor może również służyć do blokowania przeglądarki Mozilla Firefox w celu zwiększenia bezpieczeństwa, ale domyślnie tak nie jest.
Co to jest AppArmor?
AppArmor jest podobny do SELinux, używanego domyślniew Fedorze i Red Hat. Choć działają inaczej, zarówno AppArmor, jak i SELinux zapewniają zabezpieczenia „obowiązkowej kontroli dostępu” (MAC). W efekcie AppArmor pozwala programistom Ubuntu ograniczyć działania, które mogą podejmować procesy.
Na przykład jedna aplikacja jest ograniczonaDomyślną konfiguracją Ubuntu jest przeglądarka plików PDF Evince. Chociaż Evince może działać jako konto użytkownika, może podejmować tylko określone działania. Evince ma tylko minimalne uprawnienia potrzebne do uruchamiania i pracy z dokumentami PDF. Jeśli w module renderującym PDF Evince'a zostanie odkryta podatność, a ty otworzysz złośliwy dokument PDF, który przejął Evince, AppArmor ograniczy szkody, które Evince może wyrządzić. W tradycyjnym modelu bezpieczeństwa Linuksa Evince miałby dostęp do wszystkiego, do czego masz dostęp. Dzięki AppArmor ma dostęp tylko do rzeczy, do których przeglądarka plików PDF potrzebuje dostępu.
AppArmor jest szczególnie przydatny do ograniczania oprogramowania, które może być wykorzystywane, takiego jak przeglądarka internetowa lub oprogramowanie serwera.
Wyświetlanie statusu AppArmor
Aby wyświetlić status AppArmor, uruchom następujące polecenie w terminalu:
sudo apparmor_status
Zobaczysz, czy AppArmor działa w twoim systemie (domyślnie działa), zainstalowane profile AppArmor i uruchomione ograniczone procesy.
Profile AppArmor
W AppArmor procesy są ograniczone profilami. Powyższa lista pokazuje protokoły zainstalowane w systemie - te są dostarczane z Ubuntu. Możesz także zainstalować inne profile, instalując pakiet apparmor-profile. Niektóre pakiety - na przykład oprogramowanie serwera - mogą mieć własne profile AppArmor, które są instalowane w systemie wraz z pakietem. Możesz także utworzyć własne profile AppArmor, aby ograniczyć oprogramowanie.
Profile mogą działać w „trybie narzekań” lub „egzekwowaćmode. ”W trybie wymuszania - domyślne ustawienie dla profili dostarczanych z Ubuntu - AppArmor uniemożliwia aplikacjom podejmowanie ograniczonych działań. W trybie narzekania AppArmor pozwala aplikacjom na podejmowanie ograniczonych działań i tworzy wpis w dzienniku narzekający na to. Tryb reklamacji jest idealny do testowania profilu AppArmor przed włączeniem go w trybie wymuszania - zobaczysz wszelkie błędy, które wystąpiłyby w trybie wymuszania.
Profile są przechowywane w katalogu /etc/apparmor.d. Te profile to pliki zwykłego tekstu, które mogą zawierać komentarze.
Włączanie AppArmor dla Firefoksa
Możesz również zauważyć, że AppArmor ma profil Firefox - to jest usr.bin.firefox plik w /etc/apparmor.d informator. Nie jest domyślnie włączony, ponieważ może zbyt mocno ograniczać Firefoksa i powodować problemy. The /etc/apparmor.d/disable folder zawiera link do tego pliku, co oznacza, że jest wyłączony.
Aby włączyć profil Firefox i ograniczyć Firefoksa za pomocą AppArmor, uruchom następujące polecenia:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
Po uruchomieniu tych poleceń uruchom sudo apparmor_status ponownie, a zobaczysz, że profile Firefox są już załadowane.
Aby wyłączyć profil Firefox, jeśli powoduje problemy, uruchom następujące polecenia:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Więcej szczegółowych informacji na temat korzystania z AppArmor znajduje się na oficjalnej stronie Przewodnika serwera Ubuntu na AppArmor.
