5Aug
AppArmor je važna sigurnosna značajka koja je standardno uključena u Ubuntu od Ubuntu 7.10.Ipak, radi u pozadini tiho, pa možda nećete biti svjesni onoga što je i što radi.
AppArmor briše ranjive procese, ograničavajući štetu sigurnosnih ranjivosti u tim procesima mogu uzrokovati. AppArmor se također može upotrijebiti za zaključavanje Mozilla Firefoxa radi povećanja sigurnosti, ali to ne čini prema zadanim postavkama.
Što je AppArmor?
AppArmor je sličan SELinuxu, koji se standardno koristi u Fedora i Red Hat. Dok rade drugačije, i AppArmor i SELinux pružaju sigurnu "obaveznu kontrolu pristupa"( MAC).U stvari, AppArmor dopušta Ubuntu-ovim programerima ograničavanje radnji koje procesi mogu poduzeti. Primjerice, jedna aplikacija koja je ograničena u Ubuntu zadanoj konfiguraciji jest Evince PDF preglednik. Iako se Evince može prikazivati kao korisnički račun, može se poduzeti samo određene radnje. Evince ima samo minimalne dozvole potrebne za pokretanje i rad s PDF dokumentima. Ako je otkriveno ranjivost u Evinceovom PDF rendereru i otvorili zlonamjerni PDF dokument koji je preuzeo Evince, AppArmor će ograničiti štetu koju bi Evince mogla učiniti. U tradicionalnom sigurnosnom modelu Linuxa, Evince bi imao pristup svemu što imate. Uz AppArmor, on ima pristup samo onim stvarima koje PDF preglednik treba pristupiti.
AppArmor je osobito koristan za ograničavanje softvera koji se može iskoristiti, kao što je web preglednik ili poslužiteljski softver.
Pregledavanje AppArmorovog statusa
Da biste vidjeli status AppArmor-a, pokrenite sljedeću naredbu na terminalu:
sudo apparmor_status
Vidjet ćete hoće li AppArmor pokrenuti na vašem sustavu( pokrenut je prema zadanim postavkama), instalirani AppArmor profili i ograničeniprocesi koji se izvode.
AppArmor Profili
U AppArmoru su procesi ograničeni profilima. Gornji popis nam pokazuje protokole koji su instalirani na sustavu - oni dolaze s Ubuntu. Također možete instalirati i druge profile instalacijom paketa apparmor-profila. Neki paketi - primjerice, poslužiteljski softver - mogu imati vlastite AppArmor profile koji su instalirani na sustav zajedno s paketom. Također možete stvoriti vlastite AppArmor profile za ograničavanje softvera. Profili
mogu se izvoditi u "načinima žalovanja" ili "načinom prisiljavanja." U načinu provođenja pravila - zadana postavka za profile koji dolaze s Ubuntu - AppArmor sprječava aplikacije da poduzimaju ograničene radnje. U žalbi način, AppArmor omogućuje aplikacijama da poduzmu ograničene radnje i stvara unos zapisnika koji se žali na to. Način prigovora idealan je za testiranje AppArmor profila prije nego što je omogućite u načinu provjere valjanosti - vidjet ćete sve pogreške koje bi se dogodile u načinu provođenja zakona. Profili
pohranjeni su u mapi /etc/ apparmor.d. Ovi profili su obične tekstualne datoteke koje mogu sadržavati komentare.
Omogućavanje AppArmor za Firefox
Možda ćete također primijetiti da AppArmor dolazi s Firefox profilom - to je datoteka usr.bin.firefox u mapi /etc/ apparmor.d .Prema zadanim postavkama nije omogućen, jer može previše prevladati Firefox i uzrokovati probleme. Mapa mape onemogućena /etc/apparmor.d/ sadrži vezu na tu datoteku, što znači da je onemogućen.
Da biste omogućili Firefox profil i ograničili Firefox s AppArmor, pokrenite sljedeće naredbe:
sudo rm /etc/apparmor.d/disable/ usr.bin.firefox
mačka /etc/apparmor.d/ usr.bin.firefox |sudo apparmor_parser -a
Nakon što pokrenete ove naredbe, ponovo pokrenite naredbu sudo apparmor_status i vidjet ćete da su Firefoxi profili sada učitani.
Da biste onemogućili Firefox profil ako uzrokuje probleme, pokrenite sljedeće naredbe:
sudo ln -s /etc/apparmor.d/ usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/ usr.bin.firefox
Za detaljnije informacije o korištenju AppArmor, obratite se službenomUbuntu poslužiteljske stranice na AppArmoru.