5Aug
АппАрмор је важна безбедносна функција која је подразумевано укључена у Убунту од Убунту 7.10.Међутим, у позадини ради тихо, тако да можда нисте свјесни шта је и шта то ради.
АппАрмор закључава угрожене процесе, ограничавајући безбедносне рањивости у овим процесима могу изазвати.АппАрмор се такође може користити за закључавање Мозилла Фирефок-а ради повећане сигурности, али то не чини подразумевано.
Шта је АппАрмор?
АппАрмор је сличан СЕЛинук-у, који се подразумевано користи у Федора и Ред Хат.Иако функционишу другачије, и АппАрмор и СЕЛинук обезбеђују "обавезну контролу приступа"( МАЦ).Уствари, АппАрмор дозвољава програмерима Убунту да ограниче поступке које могу предузети процеси.
На пример, једна апликација која је ограничена у Убунту-овој подразумевани конфигурацији је Евинце ПДФ прегледач.Док Евинце може покренути као ваш кориснички рачун, може предузети само одређене радње.Евинце има само минималне дозволе потребне за вођење и рад са ПДФ документима.Ако је откривена рањивост у Евинце-овом ПДФ рендереру и отворили сте злонамерни ПДФ документ који је преузео Евинце, АппАрмор би ограничио штету коју Евинце може учинити.У традиционалном Линук сигурносном моделу, Евинце би имао приступ свему коме имате приступ.Са АппАрмор-ом, има само приступ стварима којима прегледачу ПДФ-а треба приступити.
АппАрмор је посебно користан за ограничавање софтвера који се може експлоатисати, као што је веб прегледач или серверски софтвер.
Прегледање АппАрмор-овог статуса
Да бисте видели статус АппАрмор-а, покрените следећу команду на терминалу:
судо аппармор_статус
Видећете да ли се АппАрмор покреће на вашем систему( покреће се по подразумеваној вредности), инсталираним АппАрмор профилима и ограниченимпроцеси који се покрећу.
АппАрмор профили
У апликацији АппАрмор, процеси су ограничени профилима.На горњем списку су приказани протоколи који су инсталирани на систему - они који долазе са Убунту.Такође можете инсталирати и друге профиле инсталирањем пакета аппармор-профилес.Неки пакети - серверски софтвер, на пример - могу доћи са својим властитим АппАрмор профилима који су инсталирани на систему заједно са пакетом.Такође можете креирати сопствене профиле АппАрмор-а да бисте ограничили софтвер.
профили могу да се покрену у "жали" или "начину провере". У режиму извршавања - подразумевана поставка за профиле који долазе са Убунту - АппАрмор спречава апликације да предузимају ограничене радње.У режиму жалби, АппАрмор дозвољава апликацијама да предузму ограничене радње и креирају унос дневника који се жале на то.Режим приговарања је идеалан за тестирање профила АппАрмор пре него што је омогућите у режиму извршавања - видећете грешке које ће се појавити у режиму извршавања.Профили
се чувају у именику /etc/ аппармор.д.Ови профили су текстуални фајлови који могу садржавати коментаре.
Омогућавање АппАрмор за Фирефок
Такође можете приметити да АппАрмор долази са Фирефок профилом - то је уср.бин.фирефок датотека у /etc/ аппармор.д директоријуму.Није подразумевано омогућено, јер може превише ограничити Фирефок и изазвати проблеме. диска садржи линк на ову датотеку, што указује на то да је онемогућен.
Да бисте омогућили Фирефок профил и ограничили Фирефок помоћу АппАрмор, покрените следеће наредбе:
судо рм /etc/apparmor.d/disable/ уср.бин.фирефок
цат /etc/apparmor.d/ уср.бин.фирефок |судо аппармор_парсер -а
Након што покренете ове команде, поново покрените команду судо аппармор_статус и видећете да су Фирефокови профили сада учитани.
Да бисте онемогућили профил Фирефок ако изазивају проблеме, покрените следеће команде:
судо лн -с /etc/apparmor.d/ уср.бин.фирефок /etc/apparmor.d/disable/
судо аппармор_парсер -Р /etc/apparmor.d/ уср.бин.фирефок
За детаљније информације о кориштењу АппАрмор-а, консултујте службеногСтраница са Убунту Сервер Водича на АппАрмор-у.
