5Aug
O AppArmor é um recurso de segurança importante que foi incluído por padrão com o Ubuntu desde o Ubuntu 7.10.No entanto, ele corre silenciosamente em segundo plano, então você pode não estar ciente do que é e do que está fazendo.
AppArmor bloqueia processos vulneráveis, restringindo as vulnerabilidades de segurança de danos nesses processos podem causar. O AppArmor também pode ser usado para bloquear o Mozilla Firefox para aumentar a segurança, mas não faz isso por padrão.
O que é AppArmor?
AppArmor é semelhante ao SELinux, usado por padrão no Fedora e no Red Hat. Enquanto eles funcionam de forma diferente, tanto o AppArmor quanto o SELinux oferecem segurança de "controle de acesso obrigatório"( MAC).Com efeito, o AppArmor permite que os desenvolvedores do Ubuntu restrinjam as ações que os processos podem levar.
Por exemplo, um aplicativo que está restrito na configuração padrão do Ubuntu é o visualizador PDF Evince. Enquanto Evince pode ser executado como sua conta de usuário, ele só pode tomar ações específicas. Evince tem apenas o mínimo de permissões necessárias para executar e trabalhar com documentos PDF.Se uma vulnerabilidade fosse descoberta no renderizador PDF da Evince e você abriu um documento PDF malicioso que assumisse o Evince, o AppArmor restringiria o dano que Evince poderia fazer. No modelo de segurança Linux tradicional, Evince teria acesso a tudo o que você tenha acesso. Com o AppArmor, ele só tem acesso a coisas que um visualizador de PDF precisa acessar.
AppArmor é particularmente útil para restringir o software que pode ser explorado, como um navegador web ou software de servidor.
Visualizando o status do AppArmor
Para exibir o status do AppArmor, execute o seguinte comando em um terminal:
sudo apparmor_status
Você verá se o AppArmor está sendo executado em seu sistema( está sendo executado por padrão), os perfis AppArmor instalados e confinadosprocessos que estão sendo executados.
AppArmor Perfis
No AppArmor, os processos são restritos por perfis. A lista acima mostra-nos os protocolos que estão instalados no sistema - estes vêm com o Ubuntu. Você também pode instalar outros perfis instalando o pacote apparmor-profiles. Alguns pacotes - software de servidor, por exemplo - podem vir com seus próprios perfis AppArmor que estão instalados no sistema juntamente com o pacote. Você também pode criar seus próprios perfis AppArmor para restringir o software. Os perfis
podem ser executados em "modo de queixa" ou "fazer cumprir o modo". No modo de execução - a configuração padrão para os perfis que acompanham o Ubuntu - AppArmor impede que aplicativos façam ações restritas. No modo queixa, o AppArmor permite que os aplicativos tomem ações restritas e crie uma entrada de registro reclamando sobre isso. O modo de queixa é ideal para testar um perfil do AppArmor antes de ativá-lo no modo de execução - você verá os erros que ocorreriam no modo de execução. Os perfis
são armazenados no diretório /etc/ apparmor.d. Esses perfis são arquivos de texto simples que podem conter comentários.
Habilitando o AppArmor para o Firefox
Você também pode notar que o AppArmor vem com um perfil do Firefox - é o arquivo usr.bin.firefox no /etc/ apparmor.d diretório. Não está habilitado por padrão, pois pode restringir o Firefox demais e causar problemas. A pasta disable contém um link para este arquivo, indicando que ele está desabilitado.
Para habilitar o perfil do Firefox e confinar o Firefox com o AppArmor, execute os seguintes comandos:
sudo rm /etc/apparmor.d/disable/ usr.bin.firefox
cat /etc/apparmor.d/ usr.bin.firefox |sudo apparmor_parser -a
Depois de executar esses comandos, execute o comando sudo apparmor_status novamente e você verá que os perfis Firefox estão agora carregados.
Para desativar o perfil do Firefox se estiver causando problemas, execute os seguintes comandos:
sudo ln -s /etc/apparmor.d/ usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/ usr.bin.firefox
Para obter informações mais detalhadas sobre o uso do AppArmor, consulte o funcionárioPágina do Guia do Servidor do Ubuntu no AppArmor.