AppArmor to ważna funkcja bezpieczeństwa, która jest domyślnie dołączana do Ubuntu od wersji Ubuntu 7.10. Jednak działa cicho w tle, więc możesz nie być świadomy tego, co to jest i co robi.
AppArmor blokuje wrażliwe procesy, ograniczając szkody, które mogą powodować luki w zabezpieczeniach w tych procesach. AppArmor może być również używany do blokowania przeglądarki Mozilla Firefox w celu zwiększenia bezpieczeństwa, ale nie robi tego domyślnie.
Co to jest AppArmor?
AppArmor jest podobny do SELinux, używanego domyślnie w Fedorze i Red Hat. Chociaż działają one inaczej, zarówno AppArmor, jak i SELinux zapewniają „obowiązkową kontrolę dostępu” (MAC). W efekcie AppArmor pozwala programistom Ubuntu ograniczać działania, które mogą podejmować procesy.
Na przykład jedną z aplikacji, która jest ograniczona w domyślnej konfiguracji Ubuntu, jest przeglądarka Evince PDF. Chociaż Evince może działać jako Twoje konto użytkownika, może wykonywać tylko określone działania. Evince ma tylko minimalne uprawnienia potrzebne do uruchamiania i pracy z dokumentami PDF. Jeśli w module renderującym PDF firmy Evince zostanie wykryta luka w zabezpieczeniach, a Ty otworzysz złośliwy dokument PDF, który przejął kontrolę nad Evince, AppArmor ograniczy szkody, które może wyrządzić Evince. W tradycyjnym modelu bezpieczeństwa Linuksa Evince miałby dostęp do wszystkiego, do czego masz dostęp. Dzięki AppArmor ma dostęp tylko do rzeczy, do których przeglądarka PDF potrzebuje dostępu.
AppArmor jest szczególnie przydatny do ograniczania oprogramowania, które może być wykorzystywane, takiego jak przeglądarka internetowa lub oprogramowanie serwera.
Wyświetlanie statusu AppArmor
Aby wyświetlić stan AppArmor, uruchom następujące polecenie w terminalu:
sudo apparmor_status
Zobaczysz, czy AppArmor działa w Twoim systemie (domyślnie działa), zainstalowane profile AppArmor oraz uruchomione ograniczone procesy.
Profile AppArmor
W AppArmor procesy są ograniczone profilami. Powyższa lista pokazuje nam protokoły zainstalowane w systemie - te są dostarczane z Ubuntu. Możesz także zainstalować inne profile, instalując pakiet apparmor-profiles. Niektóre pakiety - na przykład oprogramowanie serwera - mogą mieć własne profile AppArmor, które są instalowane w systemie wraz z pakietem. Możesz także tworzyć własne profile AppArmor, aby ograniczyć oprogramowanie.
Profile mogą działać w „trybie reklamacji” lub „trybie wymuszania”. W trybie wymuszania - domyślne ustawienie dla profili dostarczanych z Ubuntu - AppArmor uniemożliwia aplikacjom wykonywanie ograniczonych działań. W trybie reklamacji AppArmor zezwala aplikacjom na podejmowanie ograniczonych działań i tworzy wpis w dzienniku, w którym narzekają na to. Tryb skargi jest idealny do testowania profilu AppArmor przed włączeniem go w trybie wymuszania - zobaczysz wszelkie błędy, które wystąpiłyby w trybie wymuszania.
Profile są przechowywane w katalogu /etc/apparmor.d. Te profile to zwykłe pliki tekstowe, które mogą zawierać komentarze.
Włączanie AppArmor dla przeglądarki Firefox
Możesz również zauważyć, że AppArmor zawiera profil Firefoksa - to jest usr.bin.firefox plik w /etc/apparmor.d informator. Nie jest włączona domyślnie, ponieważ może zbytnio ograniczać działanie Firefoksa i powodować problemy. Plik /etc/apparmor.d/disable folder zawiera łącze do tego pliku, co oznacza, że jest wyłączony.
Aby włączyć profil Firefoksa i ograniczyć Firefoksa do AppArmor, uruchom następujące polecenia:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
Po uruchomieniu tych poleceń uruchom sudo apparmor_status polecenie ponownie, a zobaczysz, że profile Firefoksa są teraz załadowane.
Aby wyłączyć profil Firefoksa, jeśli powoduje problemy, uruchom następujące polecenia:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Aby uzyskać bardziej szczegółowe informacje na temat korzystania z AppArmor, zapoznaj się z oficjalnym Przewodnikiem po serwerze Ubuntu na stronie AppArmor .
