5Aug
AppArmor to ważna funkcja bezpieczeństwa, która jest domyślnie dołączana do Ubuntu od wersji Ubuntu 7.10.Jednak działa w tle, więc możesz nie wiedzieć, co to jest i co robi.
AppArmor blokuje wrażliwe procesy, ograniczając szkody, jakie mogą powodować luki w zabezpieczeniach tych procesów. AppArmor może również służyć do blokowania Mozilla Firefox w celu zwiększenia bezpieczeństwa, ale nie robi tego domyślnie.
Czym jest AppArmor?
AppArmor jest podobny do SELinux, używanego domyślnie w Fedorze i Red Hacie. Chociaż działają one inaczej, zarówno AppArmor, jak i SELinux zapewniają bezpieczeństwo "obowiązkowej kontroli dostępu"( MAC).W efekcie AppArmor pozwala programistom Ubuntu ograniczyć działanie procesów.
Na przykład jedną z aplikacji, która jest ograniczona w domyślnej konfiguracji Ubuntu jest przeglądarka plików Evince PDF.Podczas gdy Evince może działać jako twoje konto użytkownika, może podejmować tylko określone działania. Evince ma tylko minimum uprawnień wymaganych do uruchamiania i pracy z dokumentami PDF.Jeśli wykryto lukę w rendererze PDF Evince i otworzyłeś złośliwy dokument PDF, który przejął Evince, AppArmor ograniczyłby szkody, które może spowodować Evince. W tradycyjnym modelu bezpieczeństwa Linux, Evince miałby dostęp do wszystkiego, do czego masz dostęp. Aplikacja AppArmor ma dostęp tylko do rzeczy, do których przeglądarka plików PDF potrzebuje dostępu.
AppArmor jest szczególnie przydatny do ograniczania oprogramowania, które może być wykorzystane, takiego jak przeglądarka internetowa lub oprogramowanie serwera.
Wyświetlanie statusu AppArmor
Aby wyświetlić stan AppArmor, uruchom następujące polecenie w terminalu:
sudo apparmor_status
Zobaczysz, czy AppArmor działa w twoim systemie( jest on domyślnie uruchomiony), zainstalowane profile AppArmor i zamknięteprocesy, które są uruchomione.
Profile aplikacji
W AppArmor procesy są ograniczone profilami. Powyższa lista pokazuje nam protokoły zainstalowane w systemie - te z Ubuntu. Możesz również zainstalować inne profile, instalując pakiet apparmor-profiles. Niektóre pakiety - na przykład oprogramowanie serwerowe - mogą mieć własne profile AppArmor, które są instalowane w systemie wraz z pakietem. Możesz również utworzyć własne profile AppArmor, aby ograniczyć oprogramowanie. Profile
mogą być uruchamiane w trybie "narzekania" lub "trybie egzekwowania". W trybie wymuszenia - domyślne ustawienie profili dołączonych do Ubuntu - AppArmor uniemożliwia aplikacjom podejmowanie ograniczonych działań.W trybie reklamowania aplikacja AppArmor umożliwia aplikacjom podejmowanie ograniczonych działań i tworzy wpis w dzienniku na ten temat. Tryb składania skarg jest idealny do testowania profilu AppArmor przed włączeniem go w trybie egzekwowania - zobaczysz wszelkie błędy, które wystąpią w trybie egzekwowania. Profile
są przechowywane w katalogu apparmor.d /etc/.Te profile są zwykłymi plikami tekstowymi, które mogą zawierać komentarze.
Włączanie AppArmor dla Firefox
Możesz również zauważyć, że AppArmor jest dostarczany z profilem Firefoksa - jest to plik usr.bin.firefox w katalogu /etc/ apparmor.d .Nie jest włączone domyślnie, ponieważ może zbytnio ograniczyć działanie Firefoksa i powodować problemy. /etc/apparmor.d/ wyłącza folder zawiera łącze do tego pliku, co oznacza, że jest wyłączony.
Aby włączyć profil Firefoksa i ograniczyć działanie Firefoksa za pomocą AppArmor, uruchom następujące polecenia:
sudo rm /etc/apparmor.d/disable/ usr.bin.firefox
cat /etc/apparmor.d/ usr.bin.firefox |sudo apparmor_parser -a
Po uruchomieniu tych komend uruchom ponownie komendę sudo apparmor_status , a zobaczysz, że profile Firefox są teraz załadowane.
Aby wyłączyć profil Firefoksa, jeśli powoduje on problemy, uruchom następujące polecenia:
sudo ln -s /etc/apparmor.d/ usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/ usr.bin.firefox
Aby uzyskać szczegółowe informacje na temat korzystania z AppArmor, należy skonsultować się z urzędnikiemPrzewodnik po Ubuntu Server Guide na AppArmor.