Το AppArmor είναι ένα σημαντικό χαρακτηριστικό ασφαλείας που περιλαμβάνεται από προεπιλογή στο Ubuntu από το Ubuntu 7.10. Ωστόσο, λειτουργεί αθόρυβα στο παρασκήνιο, οπότε ενδέχεται να μην γνωρίζετε τι είναι και τι κάνει.
Το AppArmor κλειδώνει ευάλωτες διαδικασίες, περιορίζοντας τις ζημιές που μπορεί να προκαλέσουν οι ευπάθειες ασφαλείας σε αυτές τις διαδικασίες. Το AppArmor μπορεί επίσης να χρησιμοποιηθεί για να κλειδώσει το Mozilla Firefox για αυξημένη ασφάλεια, αλλά δεν το κάνει από προεπιλογή.
Τι είναι το AppArmor;
Το AppArmor είναι παρόμοιο με το SELinux, που χρησιμοποιείται από προεπιλογή στο Fedora και στο Red Hat. Ενώ λειτουργούν διαφορετικά, τόσο το AppArmor όσο και το SELinux παρέχουν ασφάλεια «υποχρεωτικού ελέγχου πρόσβασης» (MAC). Στην πραγματικότητα, το AppArmor επιτρέπει στους προγραμματιστές του Ubuntu να περιορίσουν τις ενέργειες που μπορούν να κάνουν οι διαδικασίες.
Για παράδειγμα, μία εφαρμογή που περιορίζεται στην προεπιλεγμένη διαμόρφωση του Ubuntu είναι το πρόγραμμα προβολής Evince PDF. Ενώ το Evince μπορεί να εκτελεστεί ως λογαριασμός χρήστη, μπορεί να λάβει συγκεκριμένες ενέργειες. Η Evince έχει μόνο τα ελάχιστα δικαιώματα που απαιτούνται για την εκτέλεση και την εργασία με έγγραφα PDF. Εάν εντοπιστεί μια ευπάθεια στο πρόγραμμα απόδοσης PDF του Evince και ανοίξατε ένα κακόβουλο έγγραφο PDF που ανέλαβε το Evince, το AppArmor θα περιόριζε τη ζημιά που θα μπορούσε να κάνει ο Evince. Στο παραδοσιακό μοντέλο ασφάλειας Linux, το Evince θα έχει πρόσβαση σε όλα όσα έχετε πρόσβαση. Με το AppArmor, έχει πρόσβαση μόνο σε πράγματα στα οποία χρειάζεται να έχει πρόσβαση ένα πρόγραμμα προβολής PDF.
Το AppArmor είναι ιδιαίτερα χρήσιμο για τον περιορισμό του λογισμικού που μπορεί να χρησιμοποιηθεί, όπως ένα πρόγραμμα περιήγησης ιστού ή λογισμικό διακομιστή.
Προβολή της κατάστασης του AppArmor
Για να δείτε την κατάσταση του AppArmor, εκτελέστε την ακόλουθη εντολή σε ένα τερματικό:
sudo apparmor_status
Θα δείτε εάν το AppArmor εκτελείται στο σύστημά σας (εκτελείται από προεπιλογή), τα προφίλ AppArmor που είναι εγκατεστημένα και οι περιορισμένες διαδικασίες που εκτελούνται.
Προφίλ AppArmor
Στο AppArmor, οι διαδικασίες περιορίζονται από προφίλ. Η παραπάνω λίστα μας δείχνει τα πρωτόκολλα που είναι εγκατεστημένα στο σύστημα - αυτά έρχονται με το Ubuntu. Μπορείτε επίσης να εγκαταστήσετε άλλα προφίλ εγκαθιστώντας το πακέτο apparmor-profiles. Ορισμένα πακέτα - λογισμικό διακομιστή, για παράδειγμα - μπορεί να συνοδεύονται από τα δικά τους προφίλ AppArmor που είναι εγκατεστημένα στο σύστημα μαζί με το πακέτο. Μπορείτε επίσης να δημιουργήσετε τα δικά σας προφίλ AppArmor για να περιορίσετε το λογισμικό.
Τα προφίλ μπορούν να εκτελεστούν σε "κατάσταση παραπόνων" ή "λειτουργία επιβολής". Σε λειτουργία επιβολής - η προεπιλεγμένη ρύθμιση για τα προφίλ που συνοδεύουν το Ubuntu - το AppArmor αποτρέπει τις εφαρμογές από τη λήψη περιορισμένων ενεργειών. Σε κατάσταση καταγγελίας, το AppArmor επιτρέπει στις εφαρμογές να κάνουν περιορισμένες ενέργειες και δημιουργούν μια καταχώριση καταγραφής που παραπονιέται για αυτό. Η λειτουργία παραπόνων είναι ιδανική για τη δοκιμή ενός προφίλ AppArmor προτού το ενεργοποιήσετε σε λειτουργία επιβολής - θα δείτε τυχόν σφάλματα που θα προκύψουν στη λειτουργία επιβολής.
Τα προφίλ αποθηκεύονται στον κατάλογο /etc/apparmor.d. Αυτά τα προφίλ είναι αρχεία απλού κειμένου που μπορούν να περιέχουν σχόλια.
Ενεργοποίηση AppArmor For Firefox
Μπορεί επίσης να παρατηρήσετε ότι το AppArmor συνοδεύεται από προφίλ Firefox - είναι το usr.bin.firefox αρχείο στο /etc/apparmor.d Ευρετήριο. Δεν είναι ενεργοποιημένο από προεπιλογή, καθώς μπορεί να περιορίσει υπερβολικά τον Firefox και να προκαλέσει προβλήματα. ο /etc/apparmor.d/disable Ο φάκελος περιέχει έναν σύνδεσμο προς αυτό το αρχείο, που δείχνει ότι είναι απενεργοποιημένο
Για να ενεργοποιήσετε το προφίλ Firefox και να περιορίσετε τον Firefox με το AppArmor, εκτελέστε τις ακόλουθες εντολές:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –α
Αφού εκτελέσετε αυτές τις εντολές, εκτελέστε το sudo apparmor_status εντολή ξανά και θα δείτε ότι τα προφίλ Firefox έχουν πλέον φορτωθεί.
Για να απενεργοποιήσετε το προφίλ Firefox εάν προκαλεί προβλήματα, εκτελέστε τις ακόλουθες εντολές:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Για πιο λεπτομερείς πληροφορίες σχετικά με τη χρήση του AppArmor, συμβουλευτείτε τον επίσημο Οδηγό διακομιστή του Ubuntu σελίδα στο AppArmor .
