5Aug
AppArmor je pomembna varnostna funkcija, ki je bila privzeto vključena z Ubuntu od Ubuntu 7.10.Vendar pa v ozadju teče tiho, zato se morda ne zavedate, kaj je in kaj počne.
AppArmor zaklene ranljive procese, kar lahko povzroči omejitev varnostnih ranljivosti v teh procesih. AppArmor lahko uporabite tudi za zaklepanje Mozilla Firefox za večjo varnost, vendar tega ne počne privzeto.
Kaj je AppArmor?
AppArmor je podoben SELinux, ki se privzeto uporablja v Fedora in Red Hat. Medtem ko delujejo drugače, tako AppArmor kot SELinux zagotavljata "obvezno kontrolo dostopa"( MAC).V praksi AppArmor omogoča razvijalcem Ubuntu, da omejijo dejanja, ki jih lahko izvajajo procesi.
Na primer, ena aplikacija, ki je omejena v privzeti konfiguraciji Ubuntu, je Evince PDF viewer. Medtem ko Evince lahko deluje kot vaš uporabniški račun, lahko sprejme samo določene ukrepe. Evince ima samo najmanjše dovoljenje, potrebno za zagon in delo z dokumenti PDF.Če je bila odkrita ranljivost v programu Evince's PDF, in odprli ste zlonamerni dokument PDF, ki je prevzel Evince, bi AppArmor omejil škodo, ki bi jo lahko storil Evince. V tradicionalnem varnostnem modelu Linuxa bi imel Evince dostop do vsega, do katerega imate dostop. S programom AppArmor ima dostop le do stvari, do katerih gledalec v programu PDF potrebuje dostop.
AppArmor je še posebej uporaben za omejevanje programske opreme, ki se lahko izkoristi, kot je spletni brskalnik ali strežniška programska oprema.
Ogled Status AppArmor
Če si želite ogledati status aplikacije AppArmor, v terminalu vnesite naslednji ukaz:
sudo apparmor_status
Prikazali boste, ali se aplikacija AppArmor izvaja v sistemu( deluje privzeto), nameščeni profili AppArmor in omejeniprocesi, ki se izvajajo.
Profili AppArmor
V aplikacijah AppArmor so procesi omejeni s profili. Na zgornjem seznamu so prikazani protokoli, ki so nameščeni v sistemu - ti so prihajajo z Ubuntu. Prav tako lahko namestite druge profile z namestitvijo paketa apparmor-profiles. Nekateri paketi - strežniška programska oprema, na primer - lahko prihajajo s svojimi lastnimi profili AppArmor, ki so nameščeni v sistemu skupaj s paketom. Prav tako lahko ustvarite lastne profile AppArmor, da omejite programsko opremo. Profili
se lahko izvajajo v načinu pritožbe ali načinu uveljavljanja. V načinu izvrševanja - privzeta nastavitev za profile, ki prihajajo z Ubuntu - AppArmor preprečuje aplikacijam, da sprejmejo omejena dejanja. V pritožbenem načinu aplikacija AppArmor omogoča aplikacijam, da sprejmejo omejena dejanja in ustvarijo dnevnik, ki se pritožuje glede tega. Način pritožbe je idealen za preizkušanje profila AppArmor, preden ga omogočite v načinu prisiljevanja - prikažejo se kakršne koli napake, ki bi se pojavile v načinu izvrševanja. Profili
so shranjeni v imeniku /etc/ apparmor.d. Ti profili so datoteke z navadnim besedilom, ki lahko vsebujejo komentarje.
Omogočanje AppArmor za Firefox
Prav tako lahko opazite, da AppArmor prihaja s profilom Firefox - to je datoteka usr.bin.firefox v imeniku /etc/ apparmor.d .Privzeto ni omogočeno, ker lahko preveč omeji Firefox in povzroči težave. Mapa , onemogočena v , vsebuje povezavo do te datoteke, ki označuje, da je onemogočena.
Če želite omogočiti profil Firefox in omejiti Firefox z aplikacijo AppArmor, zaženite naslednje ukaze:
sudo rm /etc/apparmor.d/disable/ usr.bin.firefox
mačka /etc/apparmor.d/ usr.bin.firefox |sudo apparmor_parser -a
Ko zaženete te ukaze, znova zaženite ukaz sudo apparmor_status in videli boste, da so profili Firefox zdaj naloženi.
Če želite onemogočiti profil Firefox, če to povzroča težave, zaženite naslednje ukaze:
sudo ln -s /etc/apparmor.d/ usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/ usr.bin.firefox
Za podrobnejše informacije o uporabi aplikacije AppArmor se posvetujte z uradnimStran v Ubuntu strežniku za vodnike na AppArmor.