AppArmor er en vigtig sikkerhedsfunktion, der er inkluderet som standard med Ubuntu siden Ubuntu 7.10. Det kører dog lydløst i baggrunden, så du er måske ikke opmærksom på, hvad det er, og hvad det laver.
AppArmor låser sårbare processer ned og begrænser skadesikkerhedssårbarhederne i disse processer kan forårsage. AppArmor kan også bruges til at låse Mozilla Firefox af for øget sikkerhed, men det gør det ikke som standard.
Hvad er AppArmor?
AppArmor ligner SELinux, der bruges som standard i Fedora og Red Hat. Mens de fungerer forskelligt, giver både AppArmor og SELinux “obligatorisk adgangskontrol” (MAC) sikkerhed. I virkeligheden tillader AppArmor Ubuntu-udviklere at begrænse de handlinger, processerne kan udføre.
For eksempel er et program, der er begrænset i Ubuntus standardkonfiguration, Evince PDF-fremviseren. Selvom Evince muligvis kører som din brugerkonto, kan den kun tage specifikke handlinger. Evince har kun det absolutte minimum af tilladelser, der er nødvendige for at køre og arbejde med PDF-dokumenter. Hvis der blev opdaget en sårbarhed i Evince's PDF-renderer, og du åbnede et ondsindet PDF-dokument, der overtog Evince, ville AppArmor begrænse den skade, Evince kunne gøre. I den traditionelle Linux-sikkerhedsmodel ville Evince have adgang til alt, hvad du har adgang til. Med AppArmor har den kun adgang til ting, som en PDF-fremviser har brug for adgang til.
AppArmor er især nyttig til at begrænse software, der kan udnyttes, såsom en webbrowser eller serversoftware.
Visning af AppArmors status
For at se AppArmors status skal du køre følgende kommando i en terminal:
sudo apparmor_status
Du vil se, om AppArmor kører på dit system (det kører som standard), de AppArmor-profiler, der er installeret, og de begrænsede processer, der kører.
AppArmor-profiler
I AppArmor er processer begrænset af profiler. Ovenstående liste viser os de protokoller, der er installeret på systemet - disse kommer med Ubuntu. Du kan også installere andre profiler ved at installere pakken apparmor-profiler. Nogle pakker - f.eks. Serversoftware - kan komme med deres egne AppArmor-profiler, der er installeret på systemet sammen med pakken. Du kan også oprette dine egne AppArmor-profiler for at begrænse software.
Profiler kan køre i "klage-tilstand" eller "håndhæv-tilstand." I håndhævelsestilstand - standardindstillingen for de profiler, der følger med Ubuntu - forhindrer AppArmor applikationer i at tage begrænsede handlinger. I klagemodus tillader AppArmor applikationer at foretage begrænsede handlinger og opretter en logpost, der klager over dette. Klagetilstand er ideel til at teste en AppArmor-profil, før du aktiverer den i håndhævelsestilstand - du vil se eventuelle fejl, der ville opstå i håndhævelsestilstand.
Profiler er gemt i /etc/apparmor.d biblioteket. Disse profiler er almindelige tekstfiler, der kan indeholde kommentarer.
Aktivering af AppArmor til Firefox
Du bemærker muligvis også, at AppArmor leveres med en Firefox-profil - det er det usr.bin.firefox fil i /etc/apparmor.d vejviser. Det er ikke aktiveret som standard, da det kan begrænse Firefox for meget og forårsage problemer. Det /etc/apparmor.d/disable mappen indeholder et link til denne fil, der angiver, at den er deaktiveret.
For at aktivere Firefox-profilen og begrænse Firefox med AppArmor skal du køre følgende kommandoer:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
kat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
Når du har kørt disse kommandoer, skal du køre sudo apparmor_status kommandoen igen, og du vil se, at Firefox-profilerne nu er indlæst.
For at deaktivere Firefox-profilen, hvis den forårsager problemer, skal du køre følgende kommandoer:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
For mere detaljerede oplysninger om brug af AppArmor, se de officielle Ubuntu Server Guide's side på AppArmor .
