5Aug
AppArmor je dôležitá bezpečnostná funkcia, ktorá bola štandardne zahrnutá do Ubuntu od Ubuntu 7.10.Avšak, beží ticho v pozadí, takže si možno nebudete vedomí, čo to je a čo robí.
AppArmor uzamkne zraniteľné procesy, čím sa obmedzí poškodenie zabezpečenia v týchto procesoch. Aplikácia AppArmor môže byť tiež použitá na uzamknutie Mozilla Firefoxu pre zvýšenú bezpečnosť, ale nestáva sa to predvolene.
Čo je AppArmor?
AppArmor je podobne ako SELinux, ktorý sa štandardne používa vo Fedore a Red Hat. Zatiaľ čo fungujú inak, AppArmor aj SELinux poskytujú bezpečnosť "povinného riadenia prístupu"( MAC).V skutočnosti AppArmor umožňuje vývojárom Ubuntu obmedziť akcie, ktoré môžu procesy prijať.
Napríklad jedna aplikácia, ktorá je obmedzená vo východiskovej konfigurácii Ubuntu, je prehliadač Evince PDF.Zatiaľ čo služba Evince môže byť spustená ako používateľské konto, môže vykonať iba určité kroky. Evince má len minimálne povolenie potrebné na spustenie a prácu s dokumentmi vo formáte PDF.Ak bola zistená zraniteľnosť v aplikácii Evince na vykresľovanie PDF a otvorili ste škodlivý dokument PDF, ktorý prevzal spoločnosť Evince, AppArmor by obmedzil škody, ktoré mohla spoločnosť Evince urobiť.V tradičnom systéme zabezpečenia Linuxu bude mať Evince prístup ku všetkému, ku ktorému máte prístup. Aplikácia AppArmor má prístup len k potrebám, ku ktorým potrebuje prístup prehliadač PDF.
AppArmor je obzvlášť užitočný na obmedzenie softvéru, ktorý môže byť použitý, napríklad webový prehliadač alebo serverový softvér.
Zobrazenie stavu aplikácie AppArmor
Ak chcete zobraziť stav aplikácie AppArmor, spustite nasledujúci príkaz v termináli:
sudo apparmor_status
Uvidíte, či je AppArmor spustený vo vašom systéme( štandardne beží), nainštalované profily AppArmor a obmedzenéspustené procesy.
AppArmor Profily
V aplikácii AppArmor sú procesy obmedzené profilmi. Vyššie uvedený zoznam zobrazuje protokoly, ktoré sú nainštalované v systéme - tieto sú dodávané s Ubuntu. Môžete tiež nainštalovať ďalšie profily inštaláciou balíka apparmor-profiles. Niektoré balíky - napríklad serverový softvér - môžu obsahovať vlastné profily AppArmor, ktoré sú nainštalované v systéme spolu s balíkom. Môžete tiež vytvoriť svoje vlastné profily AppArmor na obmedzenie softvéru. Profily
môžu bežať v režime sťažnosti alebo v režime presadzovania. V režime presadzovania - predvolené nastavenie pre profily, ktoré prichádzajú s Ubuntu - AppArmor zabraňuje aplikáciám prijímať obmedzené akcie. V režime sťažnosti aplikácia AppArmor umožňuje aplikáciám vykonávať obmedzené akcie a vytvára záznam ohlásený sťažnosťou. Režim Complain je ideálny pre testovanie profilu AppArmor pred jeho aktiváciou v režime vymáhania - uvidíte akékoľvek chyby, ktoré by nastali v režime vymáhania. Profily
sú uložené v adresári /etc/ apparmor.d. Tieto profily sú textové súbory, ktoré môžu obsahovať komentáre.
Povolenie aplikácie AppArmor pre Firefox
Môžete si tiež všimnúť, že AppArmor je dodávaný s profilom Firefoxu - je to usr.bin.firefox súbor v adresári /etc/ /etc/ apparmor.d .V predvolenom nastavení nie je povolené, pretože môže príliš obmedziť Firefox a spôsobiť problémy. /etc/apparmor.d/ zakáže priečinok obsahuje odkaz na tento súbor, čo naznačuje, že je zakázané.
Ak chcete povoliť profil Firefoxu a obmedziť Firefox s AppArmor, spustite nasledovné príkazy:
sudo rm /etc/apparmor.d/disable/ usr.bin.firefox
mačka /etc/apparmor.d/ usr.bin.firefox |sudo apparmor_parser -a
Po spustení týchto príkazov spustite znova príkaz sudo apparmor_status a zistíte, že sú načítané profily Firefoxu.
Ak chcete vypnúť profil Firefoxu, ak spôsobuje problémy, spustite nasledovné príkazy:
sudo ln -s /etc/apparmor.d/ usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/ usr.bin.firefox
Podrobnejšie informácie o používaní aplikácie AppArmor nájdete v oficiálnejUbuntu Server Guide na stránke AppArmor.