5Aug
AppArmor er en viktig sikkerhetsfunksjon som er inkludert som standard med Ubuntu siden Ubuntu 7.10.Det går imidlertid stille i bakgrunnen, så du kan ikke være klar over hva det er og hva det gjør.
AppArmor låser ned sårbare prosesser, og begrenser sikkerhetsproblemene i disse prosessene. AppArmor kan også brukes til å låse ned Mozilla Firefox for økt sikkerhet, men det gjør ikke dette som standard.
Hva er AppArmor?
AppArmor ligner SELinux, som brukes som standard i Fedora og Red Hat. Mens de jobber annerledes, gir både AppArmor og SELinux "MAC-sikkerhet"( Mandatory Access Control).AppArmor lar faktisk Ubuntus utviklere begrense handlinger prosesser kan ta.
For eksempel er ett program som er begrenset i Ubuntus standardkonfigurasjon, Evince PDF-visningsprogrammet. Mens Evince kan kjøre som brukerkonto, kan det bare ta bestemte handlinger. Evince har bare et minimum av tillatelser som trengs for å kjøre og arbeide med PDF-dokumenter. Hvis det oppdages et sikkerhetsproblem i Evinces PDF-gjengivelse, og du åpnet et skadelig PDF-dokument som tok over Evince, ville AppArmor begrense skade Evince kunne gjøre. I den tradisjonelle Linux-sikkerhetsmodellen ville Evince få tilgang til alt du har tilgang til. Med AppArmor har den bare tilgang til ting som en PDF-leser trenger tilgang til.
AppArmor er spesielt nyttig for å begrense programvare som kan utnyttes, for eksempel en nettleser eller serverprogramvare.
Vise AppArmors status
For å se AppArmors status, kjør følgende kommando i en terminal:
sudo apparmor_status
Du vil se om AppArmor kjører på systemet ditt( det kjører som standard), AppArmor-profilene som er installert, og den begrensedeprosesser som kjører.
AppArmor Profiler
I AppArmor er prosesser begrenset av profiler. Listen ovenfor viser oss protokollene som er installert på systemet - disse kommer med Ubuntu. Du kan også installere andre profiler ved å installere apparmor-profiler pakken. Noen pakker - for eksempel serverprogramvare - kan komme med egne AppArmor-profiler som er installert på systemet sammen med pakken. Du kan også lage dine egne AppArmor-profiler for å begrense programvare.
Profiler kan kjøre i "klage modus" eller "håndhev modus". I håndhevingsmodus - standardinnstillingen for profilene som følger med Ubuntu - AppArmor forhindrer at programmer tar begrensede handlinger. I klagemodus lar AppArmor applikasjoner ta begrensede handlinger og oppretter en loggoppføring som klager over dette. Klagemodus er ideell for å teste en AppArmor-profil før du aktiverer den i håndhevingsmodus - du vil se eventuelle feil som ville oppstå i håndhevingsmodus.
Profiler lagres i /etc/ apparmor.d katalogen. Disse profilene er enkle tekstfiler som kan inneholde kommentarer.
Aktiverer AppArmor For Firefox
Du kan også legge merke til at AppArmor kommer med en Firefox-profil - det er usr.bin.firefox -filen i /etc/ apparmor.d -katalogen. Det er ikke aktivert som standard, da det kan begrense Firefox for mye og forårsake problemer. /etc/apparmor.d/ deaktiver -mappen inneholder en lenke til denne filen, som indikerer at den er deaktivert.
For å aktivere Firefox-profilen og begrense Firefox med AppArmor, kjør følgende kommandoer:
sudo rm /etc/apparmor.d/disable/ usr.bin.firefox
katt /etc/apparmor.d/ usr.bin.firefox |sudo apparmor_parser-
Etter at du har kjørt disse kommandoene, kjør sudo apparmor_status -kommandoen igjen, så ser du at Firefox-profilene nå er lastet inn.
Hvis du vil deaktivere Firefox-profilen hvis den forårsaker problemer, kjør du følgende kommandoer:
sudo ln -s /etc/apparmor.d/ usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/ usr.bin.firefox
For mer detaljert informasjon om bruk av AppArmor, ta kontakt med tjenestemannenUbuntu Server Guide's side på AppArmor.