5Aug
AppArmor er en vigtig sikkerhedsfunktion, der som standard er inkluderet med Ubuntu siden Ubuntu 7.10.Det løber dog stille i baggrunden, så du kan ikke være opmærksom på, hvad det er, og hvad det gør.
AppArmor låser ned sårbare processer, hvilket begrænser de skadelige sikkerhedsproblemer, som disse processer kan forårsage. AppArmor kan også bruges til at låse Mozilla Firefox for øget sikkerhed, men det gør det ikke som standard.
Hvad er AppArmor?
AppArmor ligner SELinux, som brugt som standard i Fedora og Red Hat. Selvom de fungerer forskelligt, giver både AppArmor og SELinux sikkerhed for "obligatorisk adgangskontrol"( MAC).AppArmor giver faktisk Ubuntu's udviklere mulighed for at begrænse de handlinger, processer kan tage.
For eksempel er en applikation, der er begrænset i Ubuntus standardkonfiguration, Evince PDF-vieweren. Mens Evince kan køre som din brugerkonto, kan det kun tage specifikke handlinger. Evince har kun det eneste minimum af tilladelser, der er nødvendige for at køre og arbejde med PDF-dokumenter. Hvis der blev opdaget en sårbarhed i Evinces PDF-renderer, og du åbnede et ondsindet PDF-dokument, der overtog Evince, ville AppArmor begrænse den skade, Evince kunne gøre. I den traditionelle Linux-sikkerhedsmodel ville Evince have adgang til alt, hvad du har adgang til. Med AppArmor har den kun adgang til ting, som en PDF-viewer har brug for adgang til.
AppArmor er særligt nyttig til at begrænse software, der kan udnyttes, såsom en webbrowser eller server software.
Visning AppArmors status
Hvis du vil se AppArmors status, skal du køre følgende kommando i en terminal:
sudo apparmor_status
Du vil se, om AppArmor kører på dit system( det kører som standard), AppArmor-profilerne, der er installeret, og det begrænsedeprocesser, der kører.
AppArmor Profiler
I AppArmor er processer begrænset af profiler. Listen ovenfor viser os de protokoller, der er installeret på systemet - disse kommer med Ubuntu. Du kan også installere andre profiler ved at installere apparmor-profiler pakken. Nogle pakker - f.eks. Serversoftware - kan leveres med deres egne AppArmor-profiler, der er installeret på systemet sammen med pakken. Du kan også oprette dine egne AppArmor-profiler for at begrænse software.
Profiler kan køre i "complain mode" eller "enforce mode." I håndhævelsestilstand - standardindstillingen for de profiler, der følger med Ubuntu - AppArmor forhindrer programmer i at tage begrænsede handlinger. I klagemodus tillader AppArmor applikationer at tage begrænsede handlinger og opretter en logpost, der klager over dette. Klagemodus er ideel til at teste en AppArmor-profil, før den aktiveres i håndhævelsestilstand - du vil se eventuelle fejl, der ville opstå i håndhævelsestilstand.
Profiler gemmes i /etc/ apparmor.d mappen. Disse profiler er almindelig tekstfiler, der kan indeholde kommentarer.
Aktivering af AppArmor til Firefox
Du kan også bemærke, at AppArmor leveres med en Firefox-profil - det er usr.bin.firefox -filen i /etc/ apparmor.d -mappen. Det er ikke aktiveret som standard, da det kan begrænse Firefox for meget og forårsage problemer. /etc/apparmor.d/ deaktivere -mappen indeholder et link til denne fil, hvilket angiver, at den er deaktiveret.
Hvis du vil aktivere Firefox-profilen og indstille Firefox med AppArmor, skal du køre følgende kommandoer:
sudo rm /etc/apparmor.d/disable/ usr.bin.firefox
kat /etc/apparmor.d/ usr.bin.firefox |sudo apparmor_parser-a
Når du har kørt disse kommandoer, skal du køre sudo apparmor_status kommandoen igen, og du vil se, at Firefox-profilerne nu er indlæst.
Hvis du vil deaktivere Firefox-profilen, hvis det forårsager problemer, skal du køre følgende kommandoer:
sudo ln -s /etc/apparmor.d/ usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/ usr.bin.firefox
For mere detaljerede oplysninger om brug af AppArmor, konsulter den officielleUbuntu Server Guide's side på AppArmor.