AppArmor é um importante recurso de segurança incluído por padrão no Ubuntu desde o Ubuntu 7.10. No entanto, ele é executado silenciosamente em segundo plano, então você pode não estar ciente do que é e o que está fazendo.
O AppArmor bloqueia processos vulneráveis, restringindo os danos que as vulnerabilidades de segurança nesses processos podem causar. O AppArmor também pode ser usado para bloquear o Mozilla Firefox para aumentar a segurança, mas não faz isso por padrão.
O que é AppArmor?
O AppArmor é semelhante ao SELinux, usado por padrão no Fedora e no Red Hat. Embora funcionem de forma diferente, o AppArmor e o SELinux fornecem segurança de “controle de acesso obrigatório” (MAC). Na verdade, o AppArmor permite que os desenvolvedores do Ubuntu restrinjam as ações que os processos podem realizar.
Por exemplo, um aplicativo restrito à configuração padrão do Ubuntu é o visualizador de PDF Evince. Embora o Evince possa ser executado como sua conta de usuário, ele só pode realizar ações específicas. Evince tem apenas o mínimo de permissões necessárias para executar e trabalhar com documentos PDF. Se uma vulnerabilidade fosse descoberta no renderizador de PDF do Evince e você abrisse um documento PDF malicioso que assumiu o controle do Evince, o AppArmor restringiria o dano que o Evince poderia causar. No modelo de segurança tradicional do Linux, Evince teria acesso a tudo o que você tivesse acesso. Com o AppArmor, ele só tem acesso às coisas que um visualizador de PDF precisa acessar.
O AppArmor é particularmente útil para restringir softwares que podem ser explorados, como um navegador da web ou software de servidor.
Visualizando o status do AppArmor
Para ver o status do AppArmor, execute o seguinte comando em um terminal:
sudo apparmor_status
Você verá se o AppArmor está sendo executado em seu sistema (por padrão), os perfis do AppArmor que estão instalados e os processos confinados que estão em execução.
Perfis AppArmor
No AppArmor, os processos são restritos por perfis. A lista acima mostra os protocolos que estão instalados no sistema - esses vêm com o Ubuntu. Você também pode instalar outros perfis instalando o pacote apparmor-profiles. Alguns pacotes - software de servidor, por exemplo - podem vir com seus próprios perfis do AppArmor, que são instalados no sistema junto com o pacote. Você também pode criar seus próprios perfis do AppArmor para restringir o software.
Os perfis podem ser executados em "modo de reclamação" ou "modo de aplicação". No modo forçado - a configuração padrão para os perfis que vêm com o Ubuntu - o AppArmor impede que os aplicativos executem ações restritas. No modo reclamar, o AppArmor permite que os aplicativos executem ações restritas e cria uma entrada de registro reclamando disso. O modo de reclamação é ideal para testar um perfil do AppArmor antes de habilitá-lo no modo de aplicação - você verá qualquer erro que poderia ocorrer no modo de aplicação.
Os perfis são armazenados no diretório /etc/apparmor.d. Esses perfis são arquivos de texto simples que podem conter comentários.
Habilitando AppArmor para Firefox
Você também pode notar que o AppArmor vem com um perfil do Firefox - é o usr.bin.firefox arquivo no /etc/apparmor.d diretório. Não é habilitado por padrão, pois pode restringir muito o Firefox e causar problemas. o /etc/apparmor.d/disable pasta contém um link para este arquivo, indicando que ele está desativado.
Para habilitar o perfil do Firefox e confinar o Firefox com AppArmor, execute os seguintes comandos:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
Depois de executar esses comandos, execute o sudo apparmor_status comando novamente e você verá que os perfis do Firefox agora estão carregados.
Para desativar o perfil do Firefox se ele estiver causando problemas, execute os seguintes comandos:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Para obter informações mais detalhadas sobre como usar o AppArmor, consulte o guia oficial do Ubuntu Server Guide página no AppArmor .
