AppArmor este o caracteristică importantă de securitate care a fost inclusă în mod implicit cu Ubuntu de la Ubuntu 7.10. Cu toate acestea, rulează silențios în fundal, deci este posibil să nu fiți conștienți de ceea ce este și ce face.
AppArmor blochează procesele vulnerabile, restricționând daunele pe care le pot provoca vulnerabilitățile de securitate din aceste procese. AppArmor poate fi, de asemenea, utilizat pentru a bloca Mozilla Firefox pentru securitate sporită, dar nu face acest lucru în mod implicit.
Ce este AppArmor?
AppArmor este similar cu SELinux, utilizat în mod implicit în Fedora și Red Hat. Deși funcționează diferit, atât AppArmor, cât și SELinux oferă securitate „control acces obligatoriu” (MAC). De fapt, AppArmor permite dezvoltatorilor Ubuntu să restricționeze acțiunile pe care le pot întreprinde procesele.
De exemplu, o aplicație restricționată în configurația implicită a Ubuntu este vizualizatorul PDF Evince. Deși Evince poate rula ca contul dvs. de utilizator, acesta poate întreprinde doar acțiuni specifice. Evince are doar permisiunea minimă necesară pentru a rula și a lucra cu documente PDF. Dacă s-ar descoperi o vulnerabilitate în randatorul PDF al lui Evince și ați deschide un document PDF rău intenționat care a preluat-o pe Evince, AppArmor ar restricționa daunele pe care Evince le-ar putea face. În modelul tradițional de securitate Linux, Evince ar avea acces la tot ceea ce aveți acces. Cu AppArmor, are acces doar la lucruri la care are nevoie un vizualizator PDF.
AppArmor este deosebit de util pentru restricționarea software-ului care poate fi exploatat, cum ar fi un browser web sau software server.
Vizualizarea stării AppArmor
Pentru a vizualiza starea AppArmor, executați următoarea comandă într-un terminal:
sudo apparmor_status
Veți vedea dacă AppArmor rulează pe sistemul dvs. (funcționează în mod implicit), profilurile AppArmor instalate și procesele limitate care rulează.
Profiluri AppArmor
În AppArmor, procesele sunt restricționate de profiluri. Lista de mai sus ne arată protocoalele care sunt instalate pe sistem - acestea vin cu Ubuntu. De asemenea, puteți instala alte profile instalând pachetul apparmor-profiles. Unele pachete - software de server, de exemplu - pot veni cu propriile profiluri AppArmor care sunt instalate pe sistem împreună cu pachetul. De asemenea, puteți crea propriile profiluri AppArmor pentru a restricționa software-ul.
Profilurile pot rula în „modul de reclamație” sau „în modul de aplicare”. În modul de aplicare - setarea implicită pentru profilurile care vin cu Ubuntu - AppArmor împiedică aplicațiile să întreprindă acțiuni restricționate. În modul de reclamație, AppArmor permite aplicațiilor să întreprindă acțiuni restricționate și creează o intrare în jurnal care se plânge de acest lucru. Modul de reclamație este ideal pentru testarea unui profil AppArmor înainte de al activa în modul de aplicare - veți vedea orice erori care ar apărea în modul de aplicare.
Profilurile sunt stocate în directorul /etc/apparmor.d. Aceste profiluri sunt fișiere text care pot conține comentarii.
Activarea AppArmor pentru Firefox
Puteți observa, de asemenea, că AppArmor vine cu un profil Firefox - este usr.bin.firefox fișier în /etc/apparmor.d director. Nu este activat în mod implicit, deoarece poate restricționa Firefox prea mult și poate cauza probleme. /etc/apparmor.d/disable dosarul conține un link către acest fișier, indicând faptul că este dezactivat.
Pentru a activa profilul Firefox și a limita Firefox cu AppArmor, rulați următoarele comenzi:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
După ce executați aceste comenzi, rulați sudo apparmor_status comanda din nou și veți vedea că profilurile Firefox sunt acum încărcate.
Pentru a dezactiva profilul Firefox dacă provoacă probleme, rulați următoarele comenzi:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Pentru informații mai detaliate despre utilizarea AppArmor, consultați Ghidul oficial al serverului Ubuntu pagină pe AppArmor .
