5Aug
Az AppArmor egy olyan fontos biztonsági funkció, amelyet az Ubuntu Ubuntu 7.10 óta alapértelmezés szerint tartalmaz. Azonban a háttérben csendben működik, ezért lehet, hogy nem ismeri, mi az, és mit csinál.
Az AppArmor lefékezheti a sebezhető folyamatokat, korlátozva ezzel a folyamatok sebezhetőségét. Az AppArmor is használható a Mozilla Firefox zárolására a nagyobb biztonság érdekében, de alapértelmezés szerint ezt nem teszi meg.
Mi az AppArmor?
Az AppArmor hasonló a SELinuxhoz, amelyet alapértelmezés szerint a Fedora és a Red Hat használ. Bár másképp működnek, mind az AppArmor, mind a SELinux "kötelező hozzáférés-szabályozás"( MAC) biztonságot nyújt. Valójában az AppArmor lehetővé teszi az Ubuntu fejlesztõi számára, hogy korlátozzák az akció folyamatait.
Például egy olyan alkalmazás, amely az Ubuntu alapértelmezett konfigurációjában korlátozott, az Evince PDF-néző.Bár az Evince felhasználói fiókodként működhet, csak meghatározott lépéseket tehet. Az Evince csak a minimális engedélyekkel rendelkezik a PDF dokumentumok futtatásához és működtetéséhez. Ha az Evince PDF renderelőben felfedeztek sebezhetőséget, és megnyitott egy rosszindulatú PDF dokumentumot, amely átvette az Evince-t, az AppArmor korlátozni fogja az Evince által okozott károkat. A hagyományos Linux biztonsági modellben az Evince mindenhez hozzáférhetett, amivel hozzáférhet. Az AppArmor használatával csak olyan dolgok férhetnek hozzá, amelyeket a PDF-nézőnek hozzáféréssel kell rendelkeznie.
Az AppArmor különösen hasznos a korlátozott szoftverek korlátozására, például egy webböngészőre vagy szerver szoftverre.
Az AppArmor állapotának megtekintése
Az AppArmor állapotának megtekintéséhez futtassa a következő parancsot egy terminálon:
sudo apparmor_status
Meg fogja látni, hogy az AppArmor fut-e a rendszerén( alapértelmezés szerint fut), az AppArmor profilokat, amelyek telepítve vannak, és a korlátozottfolyamatokat.
AppArmor profilok
Az AppArmorban a folyamatokat profilok korlátozzák. A fenti listán bemutatjuk a rendszeren telepített protokollokat - ezek az Ubuntu-val. Más profilokat is telepíthet az apparmor-profilok csomag telepítésével. Bizonyos csomagok - például a kiszolgálószoftverek - saját csomaggal ellátott AppArmor profilokat is tartalmazhatnak. Saját AppArmor profilokat is létrehozhat a szoftver korlátozásához.
A profilok "panaszos módban" vagy "érvényesítési módban" futtathatók. Az érvényesítési módban - az Ubuntu - AppArmor programhoz tartozó profilok alapértelmezett beállítása megakadályozza, hogy az alkalmazások korlátozott műveleteket hajtsanak végre. Panaszkodási módban az AppArmor lehetővé teszi az alkalmazások számára korlátozott műveletek végrehajtását és naplóbejegyzést hoz létre, amely panaszkodik erre. A panaszkodási mód ideális az AppArmor-profil teszteléséhez, mielőtt érvényesítési módban engedélyezi azt - láthatja a végrehajtási módban esetleg előforduló hibákat. Az
profilok az /etc/ apparmor.d könyvtárban vannak tárolva. Ezek a profilok olyan egyszerű szövegű fájlok, amelyek megjegyzéseket tartalmazhatnak.
Az AppArmor engedélyezése Firefoxhoz
Az AppArmor Firefox-profillal is rendelkezik - ez az usr.bin.firefox fájl az /etc/ apparmor.d könyvtárban. Alapértelmezés szerint nincs engedélyezve, mert túlságosan korlátozhatja a Firefoxot és problémákat okozhat. Az /etc/apparmor.d/ letiltása Az mappa tartalmaz egy hivatkozást erre a fájlra, jelezve, hogy letiltva van.
A Firefox-profil engedélyezéséhez és az Firefox AppArmor-ra való korlátozásához futtassa a következő parancsokat:
sudo rm /etc/apparmor.d/disable/ usr.bin.firefox
macska /etc/apparmor.d/ usr.bin.firefox |sudo apparmor_parser -a
Miután futtatod ezeket a parancsokat, futtasd újra az sudo apparmor_status parancsot, és látni fogod, hogy a Firefox profilok betöltődnek.
A Firefox-profil letiltásához, ha problémákat okoz, futtassa a következő parancsokat:
sudo ln -s /etc/apparmor.d/ usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/ usr.bin.firefox
Az AppArmor használatával kapcsolatos további információkért forduljon a hivatalosUbuntu Server Guide oldal az AppArmor-ban.