5Aug
AppArmor este o caracteristică importantă de securitate care a fost inclusă implicit cu Ubuntu de la Ubuntu 7.10.Cu toate acestea, rulează în tăcere în fundal, deci este posibil să nu fiți conștienți de ceea ce este și ce face.
AppArmor blochează procesele vulnerabile, restrângând vulnerabilitățile de securitate cauzate de aceste procese. AppArmor poate fi, de asemenea, folosit pentru a bloca Mozilla Firefox pentru o securitate sporită, dar nu face acest lucru în mod implicit.
Ce este AppArmor?
AppArmor este similar cu SELinux, utilizat în mod implicit în Fedora și Red Hat.În timp ce funcționează diferit, atât AppArmor, cât și SELinux oferă securitate de "control acces obligatoriu"( MAC).De fapt, AppArmor permite dezvoltatorilor Ubuntu să restricționeze acțiunile pe care le pot lua procesele.
De exemplu, o aplicație care este restricționată în configurația implicită a Ubuntu este vizualizatorul Evince PDF.În timp ce Evince poate rula ca cont de utilizator, poate lua doar acțiuni specifice. Evince are minimum de permisiuni necesare pentru a rula și a lucra cu documente PDF.Dacă o vulnerabilitate a fost descoperită în programul de redare a lui Evince PDF și ați deschis un document PDF rău intenționat care a preluat Evince, AppArmor ar restrânge daunele pe care le-ar putea face Evince.În modelul tradițional de securitate Linux, Evince va avea acces la tot ceea ce aveți acces. Cu AppArmor, acesta are acces numai la lucrurile pe care un vizualizator PDF trebuie să le acceseze.
AppArmor este deosebit de util pentru restricționarea software-ului care poate fi exploatat, cum ar fi un browser web sau un software de tip server.
Vizualizarea stării AppArmor
Pentru a vizualiza starea AppArmor, executați următoarea comandă într-un terminal:
sudo apparmor_status
Veți vedea dacă AppArmor rulează pe sistem( rulează implicit), profilurile AppArmor instalate și limitateprocesele care se execută.Profilele
AppArmor
În AppArmor, procesele sunt restricționate prin profiluri. Lista de mai sus ne arată protocoalele care sunt instalate pe sistem - acestea apar cu Ubuntu. De asemenea, puteți instala alte profiluri instalând pachetul apparmor-profiles. Unele pachete - software de server, de exemplu - pot veni cu propriile profile AppArmor instalate pe sistem împreună cu pachetul. De asemenea, puteți crea propriile profiluri AppArmor pentru a restricționa software-ul. Profilele
pot rula în modul "plângere" sau "modul de aplicare". În modul de executare - setarea implicită pentru profilele care apar cu Ubuntu - AppArmor împiedică aplicațiile să întreprindă acțiuni restricționate.În modul de reclamație, AppArmor permite aplicațiilor să ia acțiuni restricționate și creează o intrare în jurnal care se plânge de acest lucru. Modul de reclamare este ideal pentru testarea unui profil AppArmor înainte de al activa în modul de aplicare - veți observa eventuale erori care ar apărea în modul de aplicare. Profilele
sunt stocate în directorul /etc/ apparmor.d. Aceste profiluri sunt fișiere cu text simplu care pot conține comentarii.
Activarea AppArmor pentru Firefox
De asemenea, ați putea observa că AppArmor vine cu un profil Firefox - este fișierul usr.bin.firefox din directorul apparmor.d /etc/.Nu este activat implicit, deoarece ar putea restricționa prea mult Firefox-ul și ar cauza probleme. Dezactivarea directorului /etc/apparmor.d/ conține un link către acest fișier, indicând faptul că este dezactivat.
Pentru a activa profilul Firefox și a restrânge Firefox cu AppArmor, executați următoarele comenzi:
sudo rm /etc/apparmor.d/disable/ usr.bin.firefox
cat /etc/apparmor.d/ usr.bin.firefox |sudo apparmor_parser -a
După ce executați aceste comenzi, executați din nou comanda sudo apparmor_status și veți vedea că profilurile Firefox sunt acum încărcate.
Pentru a dezactiva profilul Firefox în cazul în care provoacă probleme, executați următoarele comenzi:
sudo ln -s /etc/apparmor.d/ usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/ usr.bin.firefox
Pentru informații mai detaliate despre utilizarea AppArmor consultați oficialulPagina Ubuntu Server Guide pe AppArmor.