AppArmor on tärkeä suojausominaisuus, joka on oletusarvoisesti sisällytetty Ubuntuun Ubuntu 7.10: n jälkeen. Se toimii kuitenkin hiljaa taustalla, joten et ehkä ole tietoinen siitä, mitä se on ja mitä se tekee.
AppArmor lukitsee haavoittuvat prosessit ja rajoittaa näiden prosessien tietoturva-aukkoja. AppArmoria voidaan käyttää myös Mozilla Firefoxin lukitsemiseen turvallisuuden lisäämiseksi, mutta se ei tee tätä oletuksena.
Mikä on AppArmor?
AppArmor on samanlainen kuin SELinux, jota käytetään oletusarvoisesti Fedorassa ja Red Hatissa. Vaikka ne toimivat eri tavoin, sekä AppArmor että SELinux tarjoavat "pakollisen kulunvalvonnan" (MAC) suojauksen. Itse asiassa AppArmor antaa Ubuntun kehittäjille mahdollisuuden rajoittaa prosessien mahdollisia toimintoja.
Esimerkiksi yksi sovellus, jota Ubuntun oletusasetuksissa on rajoitettu, on Evince PDF Viewer. Vaikka Evince voi toimia käyttäjätilinäsi, se voi suorittaa vain tiettyjä toimia. Evincellä on vain vähimmäisoikeudet, joita tarvitaan PDF-dokumenttien suorittamiseen ja käsittelyyn. Jos Evincen PDF-renderöijässä havaitaan haavoittuvuus ja avaat haitallisen PDF-asiakirjan, joka otti haltuunsa Evincen, AppArmor rajoittaisi vahinkoa, jonka Evince voisi tehdä. Perinteisessä Linux-tietoturvamallissa Evincellä olisi pääsy kaikkeen, mitä sinulla on. AppArmorin avulla sillä on pääsy vain asioihin, joihin PDF-katseluohjelma tarvitsee pääsyn.
AppArmor on erityisen hyödyllinen rajoitettaessa mahdollisesti hyödynnettäviä ohjelmistoja, kuten verkkoselainta tai palvelinohjelmistoa.
AppArmorin tilan tarkasteleminen
Voit tarkastella AppArmorin tilaa suorittamalla seuraavan komennon päätelaitteessa:
sudo apparmor_status
Näet onko AppArmor käynnissä järjestelmässäsi (se toimii oletuksena), asennetut AppArmor-profiilit ja käynnissä olevat rajoitetut prosessit.
AppArmor-profiilit
AppArmorissa profiilit rajoittavat prosesseja. Yllä oleva luettelo näyttää meille järjestelmään asennetut protokollat - nämä tulevat Ubuntun mukana. Voit asentaa myös muita profiileja asentamalla apparmor-profiles -paketin. Joissakin paketeissa - esimerkiksi palvelinohjelmistoissa - voi olla omat AppArmor-profiilinsa, jotka asennetaan järjestelmään paketin mukana. Voit myös luoda omia AppArmor-profiileja ohjelmistojen rajoittamiseksi.
Profiilit voivat toimia valitustilassa tai pakotustilassa. Pakotustilassa - Ubuntun mukana toimitettujen profiilien oletusasetus - AppArmor estää sovelluksia tekemästä rajoitettuja toimintoja. Valitustilassa AppArmor sallii sovellusten tehdä rajoitettuja toimia ja luo lokia koskevan valituksen tästä. Valitus-tila on ihanteellinen AppArmor-profiilin testaamiseen ennen sen ottamista käyttöön pakotustilassa - näet mahdolliset virheet pakotustilassa.
Profiilit tallennetaan hakemistoon /etc/apparmor.d. Nämä profiilit ovat pelkkätekstisiä tiedostoja, jotka voivat sisältää kommentteja.
AppArmorin käyttöönotto Firefoxille
Saatat myös huomata, että AppArmorissa on Firefox-profiili - se on usr.bin.firefox tiedosto /etc/apparmor.d hakemistoon. Se ei ole oletusarvoisesti käytössä, koska se voi rajoittaa Firefoxia liikaa ja aiheuttaa ongelmia. /etc/apparmor.d/disable kansio sisältää linkin tähän tiedostoon, mikä osoittaa, että se on poistettu käytöstä.
Ota Firefox-profiili käyttöön ja rajoita Firefox AppArmorilla suorittamalla seuraavat komennot:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
kissa /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
Kun olet suorittanut nämä komennot, suorita sudo apparmor_status komento uudelleen ja huomaat, että Firefox-profiilit on nyt ladattu.
Poista Firefox-profiili käytöstä, jos se aiheuttaa ongelmia, suorittamalla seuraavat komennot:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Lisätietoja AppArmorin käytöstä on virallisessa Ubuntu Server Guide -oppaassa sivu AppArmorissa .
