5Aug
AppArmor, Ubuntu 7.10'dan bu yana Ubuntu ile birlikte varsayılan olarak bulunan önemli bir güvenlik özelliğidir. Bununla birlikte, arka planda sessizce çalışır, dolayısıyla ne olduğunu ve ne yaptığının farkında olmayabilirsiniz.
AppArmor, güvenlik açığından etkilenen süreçleri kilitler, bu işlemlerdeki hasar güvenlik zayıflıklarını sınırlandırabilir. AppArmor, artan güvenlik için Mozilla Firefox'u kilitlemek için kullanılabilir, ancak varsayılan olarak bunu yapmaz.
AppArmor Nedir?
AppArmor, Fedora ve Red Hat'ta varsayılan olarak kullanılan SELinux'a benzer. Farklı çalışırken, AppArmor ve SELinux, "zorunlu erişim kontrolü"( MAC) güvenliği sağlar. Aslında, AppArmor, Ubuntu geliştiricilerinin süreçlerin gerçekleştirebileceği eylemleri kısıtlamasına izin verir.
Örneğin, Ubuntu'nun varsayılan yapılandırmasında kısıtlanmış olan bir uygulama Evince PDF görüntüleyicidir. Evince, kullanıcı hesabınız olarak çalışabilirken yalnızca belirli işlemleri yapabilir. Evince, yalnızca PDF belgeleriyle çalışmak ve çalışmak için gerekli olan en düşük izinlere sahiptir. Evince'nin PDF oluşturucusunda bir güvenlik açığı keşfedildi ve Evince'yi devralan kötü niyetli bir PDF belgesi açtıysanız, AppArmor Evince'nin yapabileceği hasarı sınırlandıracaktı.Geleneksel Linux güvenlik modelinde Evince erişebileceğiniz her şeye erişebilirdi. AppArmor ile, yalnızca bir PDF görüntüleyicisinin erişmesi gereken şeylere erişebilir.
AppArmor özellikle bir web tarayıcısı veya sunucu yazılımı gibi istismar edilebilir yazılımların kısıtlanması için kullanışlıdır.
AppArmor'un Durumunu Görüntüleme
AppArmor'un durumunu görüntülemek için bir terminalde aşağıdaki komutu çalıştırın:
sudo apparmor_status
AppArmor'un sisteminizde çalışıp çalışmadığını( varsayılan olarak çalışıyor), kurulu olan AppArmor profillerini ve yüklü olan AppArmor profilleriniÇalışan süreçler.
AppArmor Profilleri
AppArmor'da işlemler profillerle sınırlandırılmıştır. Yukarıdaki liste bize sistemde kurulu olan protokolleri gösteriyor - bunlar Ubuntu ile geliyor. Apparmor-profiles paketini yükleyerek diğer profilleri de kurabilirsiniz. Bazı paketler - örneğin sunucu yazılımı - pakete ek olarak sistemde kurulu olan kendi AppArmor profilleriyle birlikte gelebilir. Yazılımı kısıtlamak için kendi AppArmor profillerinizi de oluşturabilirsiniz.
Profilleri "şikayet modu" veya "zorlama modu" nda çalıştırabilir. Uygulama modunda - Ubuntu ile gelen profillerin varsayılan ayarı - AppArmor, uygulamaların kısıtlı eylemler gerçekleştirmesini önler.Şikayet modunda, AppArmor, uygulamaların kısıtlı işlem yapmasına ve bu konuda şikayetçi bir günlük girişi oluşturmasına izin verir.Şikayet modu, zorlama modunda etkinleştirmeden önce bir AppArmor profilini test etmek için idealdir - zorlama modunda oluşabilecek hataları görürsünüz.
Profilleri /etc/ apparmor.d dizininde saklanır. Bu profiller, açıklamalar içerebilen düz metin dosyalarıdır.
Firefox için AppArmor'u Etkinleştirme
AppArmor'un bir Firefox profili ile birlikte geldiğini fark edebilirsiniz - /etc/ apparror.d dizinindeki usr.bin.firefox dosyasıdır. Firefox'u çok fazla sınırlayıp sorunlara neden olabileceğinden, varsayılan olarak etkinleştirilmez. /etc/apparmor.d/ devre dışı klasörü, devre dışı olduğunu belirten bu dosyaya bir bağlantı içerir.
Firefox profilini etkinleştirmek ve Firefox'u AppArmor ile sınırlamak için aşağıdaki komutları çalıştırın:
sudo rm /etc/apparmor.d/disable/ usr.bin.firefox
kedi /etc/apparmor.d/ usr.bin.firefox |sudo apparmor_parser -a
Bu komutları çalıştırdıktan sonra sudo apparmor_status komutunu tekrar çalıştırın ve Firefox profillerinin şimdi yüklendiğini göreceksiniz.
Firefox profilini sorunlara neden oluyorsa devre dışı bırakmak için aşağıdaki komutları çalıştırın:
sudo ln -s /etc/apparmor.d/ usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/ usr.bin.firefox
AppArmor kullanma hakkında daha ayrıntılı bilgi için, Ubuntu Sunucu Kılavuzu'nun AppArmor'daki sayfası.