5Aug
AppArmor on tärkeä turvallisuusominaisuus, joka on oletusarvoisesti sisällytetty Ubuntuun Ubuntun 7.10 jälkeen. Kuitenkin se toimii hiljaa taustalla, joten et ehkä ole tietoinen siitä, mikä se on ja mitä se tekee.
AppArmor sulkee haavoittuvat prosessit, jotka rajoittavat näiden prosessien tietoturvahaavoittuvuutta. AppArmoria voidaan käyttää myös lukitsemaan Mozilla Firefoxia turvallisuuden parantamiseksi, mutta se ei tee sitä oletuksena.
Mikä on AppArmor?
AppArmor on samanlainen kuin SELinux, jota käytetään oletuksena Fedorassa ja Red Hatissa. Vaikka ne toimivat eri tavoin, sekä AppArmor että SELinux tarjoavat "pakollisen pääsynvalvonnan"( MAC) turvallisuuden. Itse asiassa AppArmor sallii Ubuntun kehittäjät rajoittaa toimintaprosessien toteuttamista.
Esimerkiksi yksi sovellus, joka on rajoitettu Ubuntun oletusasetuksissa, on Evince PDF -näkymä.Vaikka Evince voi toimia käyttäjätunnuksestasi, se voi tehdä vain tiettyjä toimia. Evince saa vain pienet käyttöoikeudet PDF-dokumenttien suorittamiseen ja työskentelyyn. Jos haavoittuvuus havaittiin Evincen PDF-renderöinnissä ja olet avannut haitallisen PDF-dokumentin, joka otti Evincen käyttöön, AppArmor rajoittaisi vahingon, jonka Evince voisi tehdä.Perinteisessä Linux-turvallisuusmallissa Evince olisi päässyt kaikkiin, mihin sinulla on pääsy. AppArmorilla on vain pääsy asioihin, joita PDF-katseluohjelma tarvitsee.
AppArmor on erityisen hyödyllinen rajoittamaan ohjelmia, joita voidaan käyttää, kuten verkkoselain tai palvelinohjelmisto.
AppArmorin tilan
tarkasteleminen Jos haluat tarkastella AppArmorin tilan, suorita päätteessä seuraava komento:
sudo apparmor_status
Näet, onko AppArmor käynnissä järjestelmässä( se toimii oletuksena), AppArmor-profiileja, jotka asennetaan ja rajoitettukäynnissä olevat prosessit.
AppArmor-profiilit
AppArmorissa prosessit rajoittavat profiileja. Yllä oleva luettelo näyttää meille järjestelmään asennetut protokollat - nämä tulevat Ubuntun mukana. Voit myös asentaa muita profiileja asentamalla apparmor-profiilipaketin. Jotkin paketit - esimerkiksi palvelinohjelmisto - voivat olla omat AppArmor-profiilit, jotka asennetaan järjestelmään paketin mukana. Voit myös luoda omia AppArmor-profiileja ohjelmiston rajoittamiseksi.
-profiilit voivat toimia "valitustilassa" tai "pakkotilassa". Vahvistustilassa - oletusasetus Ubuntun - AppArmor-sovelluksen profiileille estää sovelluksia tekemästä rajoitettuja toimia. Valitustilassa AppArmor sallii sovellusten ryhtyä rajoitettuihin toimiin ja luo lokitiedon, joka valittaa tästä.Valitustila soveltuu erinomaisesti AppArmor-profiilin testaamiseen ennen sen käyttöönottoa - näet virheitä, jotka saattavat tapahtua pakkotilassa.
-profiilit tallennetaan /etc/ apparmor.d-hakemistoon. Nämä profiilit ovat tavallisia tekstitiedostoja, jotka voivat sisältää kommentteja.
AppArmorin käyttöönotto Firefoxissa
Voit myös huomata, että AppArmorissa on Firefox-profiili - se on usr.bin.firefox -tiedosto /etc/ apparmor.d -hakemistossa. Se ei ole käytössä oletuksena, koska se saattaa rajoittaa Firefoxia liikaa ja aiheuttaa ongelmia. /etc/apparmor.d/: n käytöstä poistettu -kansio sisältää tämän tiedoston linkin, mikä osoittaa, että se on poistettu käytöstä.
Voit ottaa Firefox-profiilin käyttöön ja rajoittaa Firefoxin AppArmorilla suorittamalla seuraavat komennot:
sudo rm /etc/apparmor.d/disable/ usr.bin.firefox
kissa /etc/apparmor.d/ usr.bin.firefox |sudo apparmor_parser -a
Kun suoritat nämä komennot, suorita -sudo apparmor_status -komento uudelleen ja näet, että Firefox-profiilit on nyt ladattu.
Jos haluat poistaa Firefox-profiilista, jos se aiheuttaa ongelmia, suorita seuraavat komennot:
sudo ln -s /etc/apparmor.d/ usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/ usr.bin.firefox
Lisätietoja AppArmorin käyttämisestä on virallisenUbuntu Server Guide -sivulla AppArmorissa.