AppArmor è un'importante funzionalità di sicurezza inclusa per impostazione predefinita in Ubuntu a partire da Ubuntu 7.10. Tuttavia, viene eseguito silenziosamente in background, quindi potresti non essere consapevole di cosa sia e cosa stia facendo.
AppArmor blocca i processi vulnerabili, limitando i danni che le vulnerabilità di sicurezza in questi processi possono causare. AppArmor può anche essere utilizzato per bloccare Mozilla Firefox per una maggiore sicurezza, ma non lo fa per impostazione predefinita.
Cos'è AppArmor?
AppArmor è simile a SELinux, utilizzato per impostazione predefinita in Fedora e Red Hat. Sebbene funzionino in modo diverso, sia AppArmor che SELinux forniscono la sicurezza del "controllo di accesso obbligatorio" (MAC). In effetti, AppArmor consente agli sviluppatori di Ubuntu di limitare le azioni che i processi possono intraprendere.
Ad esempio, un'applicazione che è limitata nella configurazione predefinita di Ubuntu è il visualizzatore PDF Evince. Sebbene Evince possa essere eseguito come account utente, può eseguire solo azioni specifiche. Evince ha solo il minimo indispensabile delle autorizzazioni necessarie per eseguire e lavorare con i documenti PDF. Se una vulnerabilità fosse scoperta nel renderer PDF di Evince e tu aprissi un documento PDF dannoso che ha preso il controllo di Evince, AppArmor limiterebbe il danno che Evince potrebbe fare. Nel tradizionale modello di sicurezza di Linux, Evince avrebbe accesso a tutto ciò a cui hai accesso. Con AppArmor, ha accesso solo alle cose a cui un visualizzatore PDF deve accedere.
AppArmor è particolarmente utile per limitare il software che può essere sfruttato, come un browser Web o un software server.
Visualizzazione dello stato di AppArmor
Per visualizzare lo stato di AppArmor, esegui il seguente comando in un terminale:
sudo apparmor_status
Vedrai se AppArmor è in esecuzione sul tuo sistema (è in esecuzione per impostazione predefinita), i profili AppArmor installati e i processi limitati in esecuzione.
Profili AppArmor
In AppArmor, i processi sono limitati dai profili. L'elenco sopra ci mostra i protocolli installati sul sistema: questi vengono forniti con Ubuntu. Puoi anche installare altri profili installando il pacchetto apparmor-profiles. Alcuni pacchetti, ad esempio il software server, possono essere forniti con i propri profili AppArmor installati sul sistema insieme al pacchetto. È inoltre possibile creare i propri profili AppArmor per limitare il software.
I profili possono essere eseguiti in "modalità reclamo" o "modalità di applicazione". In modalità enforce - l'impostazione predefinita per i profili forniti con Ubuntu - AppArmor impedisce alle applicazioni di eseguire azioni limitate. In modalità reclamo, AppArmor consente alle applicazioni di eseguire azioni limitate e crea una voce di registro che si lamenta di questo. La modalità di reclamo è ideale per testare un profilo AppArmor prima di abilitarlo in modalità di applicazione: vedrai eventuali errori che si verificherebbero in modalità di applicazione.
I profili sono memorizzati nella directory /etc/apparmor.d. Questi profili sono file di testo normale che possono contenere commenti.
Abilitazione di AppArmor per Firefox
Potresti anche notare che AppArmor viene fornito con un profilo Firefox: è il usr.bin.firefox file in /etc/apparmor.d directory. Non è abilitato per impostazione predefinita, poiché potrebbe limitare troppo Firefox e causare problemi. Il /etc/apparmor.d/disable la cartella contiene un collegamento a questo file, che indica che è disabilitato.
Per abilitare il profilo Firefox e confinare Firefox con AppArmor, eseguire i seguenti comandi:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
Dopo aver eseguito questi comandi, esegui il file sudo apparmor_status comando di nuovo e vedrai che i profili di Firefox sono ora caricati.
Per disabilitare il profilo di Firefox se causa problemi, esegui i seguenti comandi:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Per informazioni più dettagliate sull'utilizzo di AppArmor, consultare la Guida ufficiale di Ubuntu Server pagina su AppArmor .
