AppArmor er en viktig sikkerhetsfunksjon som er inkludert som standard med Ubuntu siden Ubuntu 7.10. Det kjører imidlertid stille i bakgrunnen, så du er kanskje ikke klar over hva det er og hva det gjør.
AppArmor låser ned sårbare prosesser, og kan begrense skadesikkerhetssårbarhet i disse prosessene. AppArmor kan også brukes til å låse Mozilla Firefox for økt sikkerhet, men det gjør ikke dette som standard.
Hva er AppArmor?
AppArmor ligner på SELinux, som brukes som standard i Fedora og Red Hat. Mens de fungerer annerledes, gir både AppArmor og SELinux "obligatorisk tilgangskontroll" (MAC) sikkerhet. AppArmor tillater faktisk Ubuntu-utviklere å begrense handlingene prosessene kan utføre.
For eksempel er et program som er begrenset i Ubuntus standardkonfigurasjon Evince PDF-visningsprogram. Selv om Evince kan kjøre som din brukerkonto, kan den bare ta spesifikke handlinger. Evince har bare minimum tillatelser som trengs for å kjøre og jobbe med PDF-dokumenter. Hvis det ble oppdaget en sårbarhet i Evince's PDF-gjengivelse og du åpnet et ondsinnet PDF-dokument som tok over Evince, ville AppArmor begrense skaden Evince kunne gjøre. I den tradisjonelle Linux-sikkerhetsmodellen ville Evince ha tilgang til alt du har tilgang til. Med AppArmor har den bare tilgang til ting som en PDF-visning trenger tilgang til.
AppArmor er spesielt nyttig for å begrense programvare som kan utnyttes, for eksempel en nettleser eller serverprogramvare.
Viser AppArmors status
For å se AppArmors status, kjør følgende kommando i en terminal:
sudo apparmor_status
Du ser om AppArmor kjører på systemet ditt (det kjøres som standard), AppArmor-profilene som er installert, og de begrensede prosessene som kjører.
AppArmor-profiler
I AppArmor er prosesser begrenset av profiler. Listen over viser oss protokollene som er installert på systemet - disse kommer med Ubuntu. Du kan også installere andre profiler ved å installere pakken for apparmor-profiler. Noen pakker - for eksempel serverprogramvare - kan komme med egne AppArmor-profiler som er installert på systemet sammen med pakken. Du kan også lage dine egne AppArmor-profiler for å begrense programvaren.
Profiler kan kjøres i "klagemodus" eller "håndhevingsmodus." I håndhevelsesmodus - standardinnstillingen for profilene som følger med Ubuntu - forhindrer AppArmor applikasjoner fra å ta begrensede handlinger. I klagemodus lar AppArmor applikasjoner ta begrensede handlinger og oppretter en loggoppføring som klager over dette. Klagemodus er ideell for å teste en AppArmor-profil før du aktiverer den i håndhevingsmodus - du vil se eventuelle feil som kan oppstå i håndhevingsmodus.
Profiler lagres i /etc/apparmor.d-katalogen. Disse profilene er ren tekstfiler som kan inneholde kommentarer.
Aktivere AppArmor For Firefox
Du kan også legge merke til at AppArmor kommer med en Firefox-profil - det er den usr.bin.firefox filen i /etc/apparmor.d katalog. Det er ikke aktivert som standard, da det kan begrense Firefox for mye og forårsake problemer. De /etc/apparmor.d/disable mappen inneholder en lenke til denne filen, som indikerer at den er deaktivert.
For å aktivere Firefox-profilen og begrense Firefox med AppArmor, kjør følgende kommandoer:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
Når du har kjørt disse kommandoene, kjører du sudo apparmor_status kommandoen igjen, og du vil se at Firefox-profilene nå er lastet inn.
For å deaktivere Firefox-profilen hvis den forårsaker problemer, kjør følgende kommandoer:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
For mer detaljert informasjon om bruk av AppArmor, se den offisielle Ubuntu Server Guide’s side på AppArmor .
