5Aug
AppArmor ir svarīgs drošības līdzeklis, kas pēc noklusējuma ir iekļauts Ubuntu kopš Ubuntu 7.10.Taču fons palaiž klusi, tāpēc jūs, iespējams, nezināt, kas tas ir un ko tā dara.
AppArmor mazina neaizsargātos procesus, ierobežojot kaitējumu, kas var radīt drošības ievainojamību šajos procesos. AppArmor var arī izmantot, lai bloķētu Mozilla Firefox palielinātu drošību, taču pēc noklusējuma tas netiek darīts.
Kas ir AppArmor?
AppArmor ir līdzīgs SELinux, ko pēc noklusējuma izmanto Fedora un Red Hat. Kamēr viņi strādā atšķirīgi, gan AppArmor, gan SELinux nodrošina "obligātu piekļuves kontroli"( MAC) drošību. Faktiski AppArmor ļauj Ubuntu izstrādātājiem ierobežot darbības, kuras procesi var veikt.
Piemēram, viena lieta, kas ir ierobežota Ubuntu noklusējuma konfigurācijā, ir Evince PDF skatītājs. Lai gan Evince var darboties kā jūsu lietotāja konts, tas var veikt tikai konkrētas darbības. Tikai Evindes rīcībā ir tikai minimālās atļaujas, kas nepieciešamas, lai palaistu un strādātu ar PDF dokumentiem. Ja Evince PDF renderētājā tika atklāta neaizsargātība un jūs atverat ļaunprātīgu PDF dokumentu, kas pārņēma Evince, AppArmor ierobežotu kaitējumu, ko Evince varēja darīt. Tradicionālajā Linux drošības modelī Evince būs pieejams viss, kas jums ir pieejams. Izmantojot programmu AppArmor, tai ir piekļuve tikai lietām, kas PDF skatītājam ir nepieciešama piekļuve.
AppArmor ir īpaši noderīgs, lai ierobežotu programmatūru, kuru var izmantot, piemēram, tīmekļa pārlūkprogrammu vai servera programmatūru.
Apskatīt AppArmor statusu
Lai apskatītu AppArmor statusu, palaidiet šādu komandu terminālā:
sudo apparmor_status
Jūs redzēsiet, vai AppArmor darbojas jūsu sistēmā( tā darbojas pēc noklusējuma), instalētie AppArmor profili un ierobežotāprocesi, kas darbojas.
AppArmor Profili
Lietojumprogrammā AppArmor procesus ierobežo profili. Iepriekš minētais saraksts parāda mums protokolus, kas ir instalēti sistēmā - tie nāk ar Ubuntu. Jūs varat arī instalēt citus profilus, instalējot paketi apparmor profiliem. Piemēram, daži iepakojumi, piemēram, servera programmatūra, var ietvert savus AppArmor profilus, kas tiek instalēti sistēmā kopā ar paketi. Jūs varat arī izveidot savus AppArmor profilus, lai ierobežotu programmatūru.
profili var darboties "sūdzību režīmā" vai "izpildes režīmā". Izpildes režīmā - noklusējuma iestatījums profiliem, kas nāk ar Ubuntu. - AppArmor neļauj pieteikumiem veikt ierobežotas darbības. Sūdzību režīmā AppArmor ļauj pieteikumiem veikt ierobežotas darbības un izveido žurnāla ierakstu, kurā sūdzas par to. Sūdzību režīms ir ideāls, lai pārbaudītu AppArmor profilu, pirms to aktivizēt izpildes režīmā - jūs redzēsit visas kļūdas, kas varētu rasties izpildes režīmā.
profili tiek saglabāti /etc/ direktorijā apparmor.d.Šie profili ir vienkāršie teksta faili, kas var saturēt komentārus.
Iespējojot AppArmor Firefox
Varat arī pamanīt, ka AppArmor ir aprīkots ar Firefox profilu - tas ir usr.bin.firefox fails /etc/ apparmor.d direktorijā.Pēc noklusējuma tā nav iespējota, jo Firefox var pārlieku ierobežot un izraisīt problēmas. /etc/apparmor.d/ atspējota mape satur saiti uz šo failu, norādot, ka tā ir atspējota.
Lai iespējotu Firefox profilu un ierobežotu Firefox ar AppArmor, palaidiet šādas komandas:
sudo rm /etc/apparmor.d/disable/ usr.bin.firefox
kaķis /etc/apparmor.d/ usr.bin.firefox |sudo apparmor_parser -a
Pēc šo komandu palaišanas palaidiet sudo apparmor_status komandu atkal un jūs redzēsiet, ka tagad Firefox profili ir ielādēti.
Lai atspējotu Firefox profilu, ja tas rada problēmas, palaidiet šādas komandas:
sudo ln -s /etc/apparmor.d/ usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/ usr.bin.firefox
Lai iegūtu sīkāku informāciju par AppArmor lietošanu, apmeklējiet oficiāloUbuntu servera ceļvedis lapā AppArmor.