5Aug
AppArmor הוא מאפיין אבטחה חשוב שנכלל כברירת מחדל עם אובונטו מאז אובונטו 7.10.עם זאת, הוא פועל בשקט ברקע, כך שאתה לא יכול להיות מודע למה זה ומה זה עושה.
AppArmor מנע תהליכים פגיעים, ומגביל את הפגיעות של אבטחת אבטחה בתהליכים אלה עלול לגרום.AppArmor יכול לשמש גם כדי לנעול את Mozilla Firefox עבור אבטחה מוגברת, אבל זה לא עושה את זה כברירת מחדל.
מהו AppArmor?
AppArmor דומה ל- SELinux, המשמש כברירת מחדל ב- Fedora ו- Red Hat.בעוד שהם פועלים בצורה שונה, הן AppArmor והן SELinux מספקים אבטחה "בקרת גישה"( MAC).למעשה, AppArmor מאפשר למפתחי אובונטו להגביל את פעולות הפעולות שניתן לנקוט.
לדוגמה, יישום אחד המוגבל בתצורת ברירת המחדל של אובונטו הוא מציג ה- Evince PDF.בעוד ש- Evince עשוי לפעול כחשבון המשתמש שלך, הוא יכול לבצע פעולות ספציפיות בלבד.Evince רק את המינימום של הרשאות נדרשות כדי להפעיל ולעבוד עם מסמכי PDF.אם התגלה פגיעות במעבדת PDF של Evince ופתח מסמך PDF זדוני שלקח על Evince, AppArmor היה להגביל את הנזק Evince יכול לעשות.במודל האבטחה הלינוקס המסורתי, לאווינס תהיה גישה לכל מה שיש לך גישה אליו.עם AppArmor, יש לו רק גישה לדברים שצופה PDF צריך לגשת אליהם.
AppArmor שימושי במיוחד להגבלת תוכנות שעשויות להיות מנוצלות, כגון דפדפן אינטרנט או תוכנת שרת.
הצגת מצב AppArmor
כדי להציג את המצב של AppArmor, הפעל את הפקודה הבאה במסוף:
sudo apparmor_status
תראה אם AppArmor פועל במערכת שלך( הוא פועל כברירת מחדל), פרופילי AppArmor המותקנים,תהליכים הפועלים.
פרופילי AppArmor
ב- AppArmor, תהליכים מוגבלים על-ידי פרופילים.הרשימה לעיל מראה לנו את הפרוטוקולים המותקנים על המערכת - אלה באים עם אובונטו.ניתן גם להתקין פרופילים אחרים על ידי התקנת חבילת פרופיל הפרוזדור.חבילות מסוימות - תוכנת שרת, לדוגמה - עשויות לבוא עם פרופילי AppArmor שלהם המותקנים במערכת יחד עם החבילה.ניתן גם ליצור פרופילי AppArmor משלך כדי להגביל את התוכנה.
פרופילים יכולים לפעול במצב "מצב התלונה" או "לאכוף מצב". במצב אכיפה - הגדרת ברירת המחדל לפרופילים שמגיעים עם אובונטו - AppArmor מונעת מיישומים לנקוט פעולות מוגבלות.במצב מתלונן, AppArmor מאפשר ליישומים לנקוט פעולות מוגבלות ויוצר ערך יומן להתלונן על זה.מצב התלונה אידיאלי לבדיקת פרופיל AppArmor לפני הפעלתו במצב אכיפה - תראה שגיאות שיתרחשו במצב אכיפה.
פרופילים מאוחסנים בספריה /etc/ apparmor.d.פרופילים אלה הם קובצי טקסט רגיל שיכולים להכיל הערות.
הפעלת AppArmor עבור Firefox
ייתכן שתבחין גם ש- AppArmor מגיע עם פרופיל Firefox - זהו הקובץ usr.binfox בספריה /etc/ apparmor.d .היא אינה מופעלת כברירת מחדל, שכן היא עלולה להגביל את פיירפוקס יותר מדי ולגרום לבעיות.התיקייה /etc/apparmor.d/ disable מכילה קישור לקובץ זה, המציין שהוא מושבת.
כדי להפעיל את פרופיל Firefox ולהגביל את Firefox עם AppArmor, הפעל את הפקודות הבאות:
sudo rm /etc/apparmor.d/disable/ usr.bin.firefox
cat /etc/apparmor.d/ usr.bin.firefox |לאחר הפעלת פקודות אלה, הפעל את הפקודה sudo apparmor_status שוב ותראה שהפרופילים של Firefox נטענים כעת.
כדי להשבית את פרופיל Firefox אם הוא גורם לבעיות, הפעל את הפקודות הבאות:
sudo ln-s /etc/apparmor.d/ usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/ usr.binfox
לקבלת מידע מפורט יותר אודות השימוש ב- AppArmor, התייעץ עם הפקיד הרשמימדריך של שרת אובונטו על AppArmor.