Az AppArmor egy fontos biztonsági szolgáltatás, amelyet alapértelmezés szerint az Ubuntu tartalmaz az Ubuntu 7.10 óta. Azonban némán fut a háttérben, ezért nem biztos, hogy tisztában van azzal, hogy mi ez és mit csinál.
Az AppArmor lezárja a sérülékeny folyamatokat, korlátozva az ezekben a folyamatokban előforduló biztonsági réseket. Az AppArmor a nagyobb biztonság érdekében a Mozilla Firefox zárolására is használható, de ezt alapértelmezés szerint nem teszi meg.
Mi az AppArmor?
Az AppArmor hasonló a SELinuxhoz, amelyet alapértelmezés szerint a Fedora és a Red Hat használ. Noha másképp működnek, az AppArmor és a SELinux egyaránt biztosítja a „kötelező hozzáférés-vezérlés” (MAC) biztonságot. Valójában az AppArmor lehetővé teszi az Ubuntu fejlesztőinek, hogy korlátozzák a folyamatok által elvégezhető műveleteket.
Például az Ubuntu alapértelmezett konfigurációjában korlátozott alkalmazás az Evince PDF-megjelenítő. Bár az Evince futhat az Ön felhasználói fiókjaként, csak bizonyos műveleteket hajthat végre. Evince csak a PDF dokumentumok futtatásához és kezeléséhez szükséges minimális engedélyekkel rendelkezik. Ha egy sebezhetőséget fedeztek fel az Evince PDF-megjelenítőjében, és egy rosszindulatú PDF-dokumentumot nyitott meg, amely átvette az Evince-t, az AppArmor korlátozná az Evince által okozott kárt. A hagyományos Linux biztonsági modellben Evince mindent elérhet, amihez hozzáfér. Az AppArmor segítségével csak olyan dolgokhoz férhet hozzá, amelyekhez a PDF-megtekintőnek szüksége van.
Az AppArmor különösen hasznos a kihasználható szoftverek, például egy webböngésző vagy szerver szoftver korlátozásában.
Az AppArmor állapotának megtekintése
Az AppArmor állapotának megtekintéséhez futtassa a következő parancsot egy terminálon:
sudo apparmor_status
Látni fogja, hogy az AppArmor fut-e a rendszerén (alapértelmezés szerint fut), a telepített AppArmor-profilok és a futó zárt folyamatok.
AppArmor profilok
Az AppArmor-ban a folyamatokat profilok korlátozzák. A fenti lista megmutatja a rendszerre telepített protokollokat - ezek az Ubuntu-val érkeznek. Az Apparmor-profiles csomag telepítésével más profilokat is telepíthet. Egyes csomagok - például a kiszolgálószoftver - saját AppArmor-profillal rendelkeznek, amelyek a csomaggal együtt a rendszerre vannak telepítve. A szoftver korlátozásához saját AppArmor profilokat is létrehozhat.
A profilok „panasz módban” vagy „kényszerítés módban” futtathatók. Kényszerítési módban - az Ubuntuval érkező profilok alapértelmezett beállítása - az AppArmor megakadályozza, hogy az alkalmazások korlátozott műveleteket hajtsanak végre. Panasz módban az AppArmor lehetővé teszi az alkalmazások számára, hogy korlátozott műveleteket hajtsanak végre, és naplóbejegyzést hoz létre, amely panaszkodik erről. A Panasz üzemmód ideális az AppArmor-profil teszteléséhez, mielőtt engedélyezné azt kényszerített módban - látni fogja az esetleges hibákat, amelyek végrehajtási módban történnének.
A profilokat az /etc/apparmor.d könyvtárban tároljuk. Ezek a profilok egyszerű szövegű fájlok, amelyek megjegyzéseket tartalmazhatnak.
Az AppArmor engedélyezése a Firefox számára
Azt is észreveheti, hogy az AppArmor Firefox-profillal rendelkezik - ez az usr.bin.firefox fájl a /etc/apparmor.d Könyvtár. Alapértelmezés szerint nincs engedélyezve, mivel túlságosan korlátozhatja a Firefoxot és problémákat okozhat. A /etc/apparmor.d/disable mappa tartalmaz egy linket erre a fájlra, jelezve, hogy le van tiltva.
A Firefox-profil engedélyezéséhez és a Firefox korlátozásához az AppArmor programmal futtassa a következő parancsokat:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
macska /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
Miután futtatta ezeket a parancsokat, futtassa a sudo apparmor_status parancsot, és látni fogja, hogy a Firefox-profilok most betöltődnek.
Ha problémát okoz a Firefox-profil kikapcsolásához, futtassa a következő parancsokat:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Az AppArmor használatával kapcsolatos további információkért olvassa el a hivatalos Ubuntu Server Guide útmutatót oldal az AppArmor oldalon .
