5Aug
"AppArmor" yra svarbi saugumo funkcija, kuri pagal numatytuosius nustatymus įtraukta į "Ubuntu" nuo Ubuntu 7.10.Tačiau jis fone veikia tyliai, taigi jūs negalite žinoti, kas tai yra ir ką ji daro."
" "AppArmor" apriboja pažeidžiamus procesus, kurie gali apsunkinti šių procesų saugumo pažeidžiamumą."AppArmor" taip pat gali būti naudojamas siekiant užblokuoti "Mozilla Firefox" padidintą saugumą, tačiau pagal numatytuosius nustatymus tai nepadaro.
Kas yra AppArmor?
"AppArmor" yra panašus į "SELinux", kuris pagal nutylėjimą naudojamas "Fedora" ir "Red Hat".Nors jie veikia skirtingai, "AppArmor" ir "SELinux" teikia "privalomos prieigos kontrolės"( MAC) saugumą.Iš tikrųjų "AppArmor" leidžia Ubuntu kūrėjams apriboti veiksmų procesus.
Pvz., Viena programa, kuri pagal Ubuntu numatytąją konfigūraciją yra apribota, yra Evince PDF žiūryklė.Nors "Evince" gali būti naudojama kaip jūsų vartotojo paskyra, ji gali imtis tik konkrečių veiksmų."Evince" turi tik minimalius leidimus, reikalingus paleisti ir dirbti su PDF dokumentais. Jei "Evince's PDF renderer" buvo aptiktas pažeidžiamumas ir jūs atidarėte kenkėjišką PDF dokumentą, kuris perėmė Evince'ą, "AppArmor" apriboja žalą, kurią gali patirti "Evince".Tradiciniame "Linux" saugumo modelyje "Evince" turėtų prieigą prie visko, prie kurio galite prisijungti. Programoje "AppArmor" prieinama tik tai, ką PDF žiūryklę reikia pasiekti.
"AppArmor" yra ypač naudinga norint apriboti programinę įrangą, kuri gali būti naudojama, pvz., Žiniatinklio naršyklę ar serverių programinę įrangą.
"AppArmor statuso" peržiūra
Norėdami peržiūrėti "AppArmor" būseną, paleiskite tokią komandą terminale:
sudo apparmor_status
Jūs pamatysite, ar "AppArmor" veikia jūsų sistemoje( ji veikia pagal nutylėjimą), "AppArmor" profilius, kurie yra įdiegti, ir apribotosprocesai, kurie veikia.
"AppArmor" profiliai
"AppArmor" procesuose yra apriboti profiliai. Aukščiau pateiktas sąrašas parodo mums sistemoje įdiegtus protokolus - jie ateina su Ubuntu. Taip pat galite įdiegti kitus profilius, įdiekdami "apparmor" profilių paketą.Pavyzdžiui, kai kurie paketai - pavyzdžiui, serverio programinė įranga gali turėti savo "AppArmor" profilius, kurie įdiegiami sistemoje kartu su paketu. Taip pat galite sukurti savo "AppArmor" profilius, norėdami apriboti programinę įrangą.
profiliai gali veikti "skundų režimu" arba "vykdymo režimu". Priverstinio režimo atveju - numatytasis nustatymas profiliams, kurie ateina su Ubuntu. AppArmor neleidžia programoms imtis ribotų veiksmų.Skundų režimu "AppArmor" leidžia programoms atlikti ribotus veiksmus ir sukuria žurnalo įrašą, kuriame skundžiasi apie tai. Skundų režimas idealiai tinka "AppArmor" profilio testavimui, prieš jį įjungiant vykdymo režimu - matysite bet kokias klaidas, kurios gali įvykti vykdymo režimu.
profiliai saugomi kataloge /etc/ apparmor.d.Šie profiliai yra paprastojo teksto failai, kuriuose gali būti komentarų.
"AppArmor" įgalinimas "Firefox"
Taip pat galite pastebėti, kad "AppArmor" turi "Firefox" profilį - tai failo usr.bin.firefox aplanke /etc/ apparmor.d .Pagal numatytuosius nustatymus jis neįjungtas, nes tai gali apriboti "Firefox" per daug ir sukelti problemų. /etc/apparmor.d/ disable aplanke yra nuoroda į šį failą, nurodant, kad jis išjungtas.
Norėdami įjungti "Firefox" profilį ir apriboti "Firefox" su "AppArmor", paleiskite šias komandas:
sudo rm /etc/apparmor.d/disable/ usr.bin.firefox
katė /etc/apparmor.d/ usr.bin.firefox |sudo apparmor_parser -a
Kai paleisite šias komandas, vėl paleiskite komandą sudo apparmor_status ir pamatysite, kad "Firefox" profiliai yra įkelti.
Norėdami išjungti "Firefox" profilį, jei jis sukelia problemų, paleiskite šias komandas:
sudo ln -s /etc/apparmor.d/ usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/ usr.bin.firefox
Daugiau informacijos apie "AppArmor" naudojimą rasite oficialiame"AppArmor" Ubuntu serverio vadovo puslapis.