5Aug

Mis on AppArmor ja kuidas see Ubuntu turvalisuse tagab?

AppArmor on oluline turbefunktsioon, mis on vaikimisi lisatud Ubuntuga alates Ubuntu 7.10-st. Kuid see töötab taustal vaikuses, nii et te ei pruugi olla teadlik sellest, mis see on ja mida ta teeb.

AppArmor lukustab haavatavaid protsesse, piirates kahjusid, mida turbavägivallajuhtumid nendes protsessides võivad põhjustada. AppArmorit saab kasutada ka Mozilla Firefoxi turvalisuse suurendamiseks, kuid see ei tee seda vaikimisi.

Mis on AppArmor?

AppArmor sarnaneb SELinux'ile, mida kasutatakse vaikimisi Fedora ja Red Hat'is. Ehkki nad töötavad erinevalt, pakuvad nii AppArmor kui SELinux "kohustuslikku juurdepääsu kontrolli"( MAC) turvalisust. Tegelikult võimaldab AppArmor Ubuntu arendajatel piirata toiminguid, mida protsessid võivad võtta.

Näiteks üks rakendus, mis on Ubuntu vaikeseadistuses piiratud, on Evince PDF-i vaataja. Ehkki Evince võib olla teie kasutajakontoks, võib see võtta ainult konkreetseid toiminguid. Evince'il on ainult PDF-dokumentidega töötamiseks ja töötamiseks vaja minimaalseid õigusi. Kui Evince PDF-i renderdajas tuvastati haavatavus ja avasite Evincei üle võtnud pahatahtliku PDF-dokumendi, piiraks AppArmor kahju, mida Evince võiks teha. Traditsioonilisel Linuxi turvamudelil on Evinceil juurdepääs kõigele, kellel on juurdepääs. Rakendusega AppArmor on juurdepääs ainult sellistele asjadele, mida PDF-vaataja vajab.

AppArmor on eriti kasulik, kui piirata tarkvara, mida võib kasutada, näiteks veebibrauseri või serveritarkvara.

AppArmori oleku vaatamine

AppArmori oleku vaatamiseks käivitage terminalis järgmine käsk:

sudo apparmor_status

Näete, kas AppArmor töötab teie süsteemis( see töötab vaikimisi), installitud AppArmori profiile ja piiratudprotsessid, mis töötavad.

AppArmor Profiilid

Rakenduses AppArmor on protsessid piiratud profiilidega. Eespool toodud nimekiri näitab meile süsteemis installitud protokolle - need on kaasas Ubuntuga. Te saate ka teisi profiile paigaldada, seadistades seadme aplikatsioonipaketi. Näiteks mõnel pakendil - nt serveritarkvaral - võivad olla oma AppArmori profiilid, mis on süsteemiga koos komplektiga installitud. Tarkvara piiramiseks saate luua oma AppArmori profiile.

profiilid võivad töötada "kaebamise režiimis" või "jõustamise režiimis". Täitmisrežiimis - Ubuntuga kaasnevate profiilide vaikeseadistus - AppArmor takistab rakendustel piiratud toiminguid. Kaebuse režiimis lubab AppArmor rakendustel piiratud toiminguid ja loob sisselogimisavalduse, milles kaebavad seda. Kaebusrežiim sobib ideaalselt AppArmori profiili testimiseks, enne kui see lubab jõustamise režiimis - näete tõrgeteta režiimis ilmseid vigu.

profiilid salvestatakse kataloogis /etc/ apparmor.d. Need profiilid on tavalised tekstifailid, mis võivad sisaldada kommentaare.

AppArmor lubamine Firefoxile

Võite ka märkida, et AppArmoril on Firefoxi profiil - see on usr.bin.firefox -fail /etc/ apparmor.d kataloogis. See pole vaikimisi lubatud, kuna see võib Firefoxi liiga piirata ja põhjustada probleeme. /etc/apparmor.d/ kausta /etc/apparmor.d/ kaust sisaldab selle faili linki, mis näitab, et see on keelatud.

Firefoxi profiili lubamiseks ja Firefoxi piiramiseks rakenduse AppArmori abil käivitage järgmised käsud:

sudo rm /etc/apparmor.d/disable/ usr.bin.firefox

kass /etc/apparmor.d/ usr.bin.firefox |sudo apparmor_parser -a

Pärast nende käskude käivitamist käivitage uuesti sudo apparmor_status käsk ja näete, et Firefoxi profiilid on nüüd laaditud.

Firefoxi profiili keelamiseks, kui see tekitab probleeme, käivitage järgmised käsud:

sudo ln -s /etc/apparmor.d/ usr.bin.firefox /etc/apparmor.d/disable/

sudo apparmor_parser -R /etc/apparmor.d/ usr.bin.firefox

Täpsemat teavet AppArmori kasutamise kohta saate ametlikustUbuntu Serveri juhendi leht rakenduses AppArmor.