5Aug
Το AppArmor είναι ένα σημαντικό χαρακτηριστικό ασφάλειας που έχει συμπεριληφθεί από προεπιλογή με το Ubuntu από το Ubuntu 7.10.Ωστόσο, τρέχει σιωπηλά στο παρασκήνιο, οπότε ίσως να μην γνωρίζετε τι είναι και τι κάνει.Το
AppArmor κλειδώνει τις ευάλωτες διαδικασίες, περιορίζοντας τις ζημιές που μπορεί να προκαλέσει η ασφάλεια σε αυτές τις διαδικασίες.Το AppArmor μπορεί επίσης να χρησιμοποιηθεί για να κλειδώσει το Mozilla Firefox για αυξημένη ασφάλεια, αλλά δεν το κάνει αυτό από προεπιλογή.
Τι είναι το AppArmor;Το
AppArmor είναι παρόμοιο με το SELinux, το οποίο χρησιμοποιείται από προεπιλογή σε Fedora και Red Hat.Ενώ λειτουργούν διαφορετικά, τόσο το AppArmor όσο και το SELinux παρέχουν ασφάλεια "υποχρεωτικού ελέγχου πρόσβασης"( MAC).Στην πραγματικότητα, AppArmor επιτρέπει στους προγραμματιστές του Ubuntu να περιορίσουν τις διαδικασίες που μπορούν να λάβουν οι διαδικασίες.
Για παράδειγμα, μια εφαρμογή που είναι περιορισμένη στην προεπιλεγμένη διαμόρφωση του Ubuntu είναι το πρόγραμμα προβολής Evince PDF.Παρόλο που ο Evince μπορεί να τρέξει ως λογαριασμός χρήστη, μπορεί να λάβει συγκεκριμένες ενέργειες.Η Evince έχει μόνο τα ελάχιστα απαιτούμενα δικαιώματα για να τρέχει και να εργάζεται με έγγραφα PDF.Εάν εντοπίστηκε ένα θέμα ευπάθειας στον επεξεργαστή PDF του Evince και ανοίξατε ένα κακόβουλο έγγραφο PDF που ανέλαβε Evince, η AppArmor θα περιορίσει τη ζημιά που θα μπορούσε να κάνει η Evince.Στο παραδοσιακό μοντέλο ασφαλείας Linux, το Evince θα έχει πρόσβαση σε όλα όσα έχετε πρόσβαση.Με το AppArmor, έχει πρόσβαση μόνο σε πράγματα στα οποία χρειάζεται να έχει πρόσβαση ένας θεατής PDF.Το
AppArmor είναι ιδιαίτερα χρήσιμο για τον περιορισμό λογισμικού που μπορεί να εκμεταλλευτεί, όπως ένα πρόγραμμα περιήγησης ιστού ή λογισμικό διακομιστή.
Προβολή της κατάστασης του AppArmor
Για να δείτε την κατάσταση του AppArmor, εκτελέστε την ακόλουθη εντολή σε ένα τερματικό:
sudo apparmor_status
Θα δείτε αν το AppArmor εκτελείται στο σύστημά σας( εκτελείται από προεπιλογή), τα προφίλ AppArmor που έχουν εγκατασταθεί και τα περιορισμέναδιαδικασίες που εκτελούνται.
Προφίλ AppArmor
Στο AppArmor, οι διαδικασίες περιορίζονται από προφίλ.Η παραπάνω λίστα μας δείχνει τα πρωτόκολλα που είναι εγκατεστημένα στο σύστημα - αυτά που έρχονται με το Ubuntu.Μπορείτε επίσης να εγκαταστήσετε άλλα προφίλ εγκαθιστώντας το πακέτο apparmor-profiles.Ορισμένα πακέτα - λογισμικό διακομιστή, για παράδειγμα - μπορεί να έρχονται με τα δικά τους προφίλ AppArmor που είναι εγκατεστημένα στο σύστημα μαζί με το πακέτο.Μπορείτε επίσης να δημιουργήσετε τα δικά σας προφίλ AppArmor για να περιορίσετε το λογισμικό.Τα προφίλ
μπορούν να εκτελεστούν σε κατάσταση "παραπόνων" ή σε "λειτουργία επιβολής". Στη λειτουργία επιβολής - η προεπιλεγμένη ρύθμιση για τα προφίλ που περιέχονται στο Ubuntu - AppArmor αποτρέπει τις εφαρμογές από τη λήψη περιορισμένων ενεργειών.Σε κατάσταση παραπόνων, το AppArmor επιτρέπει στις εφαρμογές να λαμβάνουν περιορισμένες ενέργειες και δημιουργεί μια καταχώρηση καταγραφής που παραπονιέται γι 'αυτό.Η λειτουργία καταγγελίας είναι ιδανική για να δοκιμάσετε ένα προφίλ AppArmor προτού την ενεργοποιήσετε σε κατάσταση επιβολής - θα δείτε τυχόν σφάλματα που θα εμφανιστούν στη λειτουργία επιβολής.Τα προφίλ
αποθηκεύονται στον κατάλογο apparmor.d /etc/.Αυτά τα προφίλ είναι αρχεία απλού κειμένου που μπορούν να περιέχουν σχόλια.
Ενεργοποίηση του AppArmor Για τον Firefox
Ίσως παρατηρήσετε επίσης ότι το AppArmor συνοδεύεται από ένα προφίλ Firefox - είναι το αρχείο usr.bin.firefox στον κατάλογο /etc/ του /etc/ apparmor.d.Δεν είναι ενεργοποιημένη από προεπιλογή, καθώς μπορεί να περιορίσει υπερβολικά τον Firefox και να προκαλέσει προβλήματα.Το /etc/apparmor.d/ απενεργοποιεί το φάκελο περιέχει ένα σύνδεσμο προς αυτό το αρχείο, υποδεικνύοντας ότι είναι απενεργοποιημένο.
Για να ενεργοποιήσετε το προφίλ του Firefox και να περιορίσετε τον Firefox με AppArmor, εκτελέστε τις ακόλουθες εντολές:
sudo rm /etc/apparmor.d/disable/ usr.bin.firefox
cat /etc/apparmor.d/ usr.bin.firefox |sudo apparmor_parser -a
Αφού εκτελέσετε αυτές τις εντολές, εκτελέστε ξανά την εντολή sudo apparmor_status και θα δείτε ότι τα προφίλ του Firefox φορτώνονται τώρα.
Για να απενεργοποιήσετε το προφίλ του Firefox αν προκαλεί προβλήματα, εκτελέστε τις ακόλουθες εντολές:
sudo ln -s /etc/apparmor.d/ usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/ usr.bin.firefox
Για περισσότερες πληροφορίες σχετικά με τη χρήση του AppArmor, συμβουλευτείτε τον επίσημοΗ σελίδα του οδηγού του Ubuntu Server στο AppArmor.
