AppArmor - важная функция безопасности, которая по умолчанию включена в Ubuntu, начиная с Ubuntu 7.10. Однако он работает незаметно в фоновом режиме, поэтому вы можете не знать, что это такое и что делает.
AppArmor блокирует уязвимые процессы, ограничивая ущерб, который могут вызвать уязвимости безопасности в этих процессах. AppArmor также можно использовать для блокировки Mozilla Firefox для повышения безопасности, но по умолчанию он этого не делает.
Что такое AppArmor?
AppArmor похож на SELinux, используемый по умолчанию в Fedora и Red Hat. Хотя они работают по-разному, AppArmor и SELinux обеспечивают безопасность «принудительного контроля доступа» (MAC). Фактически, AppArmor позволяет разработчикам Ubuntu ограничивать действия, которые могут выполнять процессы.
Например, одно приложение, которое ограничено в конфигурации Ubuntu по умолчанию, - это программа просмотра Evince PDF. Хотя Evince может работать как ваша учетная запись пользователя, он может выполнять только определенные действия. Evince имеет только минимум разрешений, необходимых для запуска и работы с документами PDF. Если в модуле обработки PDF-файлов Evince была обнаружена уязвимость, и вы открыли вредоносный PDF-документ, который захватил Evince, AppArmor ограничит ущерб, который Evince может нанести. В традиционной модели безопасности Linux Evince будет иметь доступ ко всему, к чему у вас есть доступ. С AppArmor он имеет доступ только к тем вещам, к которым требуется доступ программе просмотра PDF.
AppArmor особенно полезен для ограничения программного обеспечения, которое может быть использовано, например, веб-браузера или серверного программного обеспечения.
Просмотр статуса AppArmor
Чтобы просмотреть статус AppArmor, выполните в терминале следующую команду:
sudo apparmor_status
Вы увидите, запущен ли AppArmor в вашей системе (он работает по умолчанию), какие профили AppArmor установлены и какие запущенные процессы ограничены.
Профили AppArmor
В AppArmor процессы ограничены профилями. В приведенном выше списке показаны протоколы, установленные в системе - они поставляются с Ubuntu. Вы также можете установить другие профили, установив пакет apparmor-profiles. Некоторые пакеты - например, серверное программное обеспечение - могут поставляться со своими собственными профилями AppArmor, которые устанавливаются в системе вместе с пакетом. Вы также можете создать свои собственные профили AppArmor для ограничения программного обеспечения.
Профили могут работать в «режиме жалобы» или «принудительном режиме». В принудительном режиме - настройке по умолчанию для профилей, поставляемых с Ubuntu, - AppArmor не позволяет приложениям выполнять ограниченные действия. В режиме жалоб AppArmor позволяет приложениям выполнять ограниченные действия и создает запись в журнале с жалобой на это. Режим жалобы идеально подходит для тестирования профиля AppArmor перед его включением в принудительном режиме - вы увидите все ошибки, которые могут возникнуть в принудительном режиме.
Профили хранятся в каталоге /etc/apparmor.d. Эти профили представляют собой текстовые файлы, которые могут содержать комментарии.
Включение AppArmor для Firefox
Вы также можете заметить, что AppArmor поставляется с профилем Firefox - это usr.bin.firefox файл в /етс/аппартор.д каталог. По умолчанию он не включен, так как может слишком сильно ограничивать Firefox и вызывать проблемы. В /етс/аппартор.д/дисабле папка содержит ссылку на этот файл, означающую, что он отключен.
Чтобы включить профиль Firefox и ограничить Firefox с помощью AppArmor, выполните следующие команды:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
кот /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
После выполнения этих команд запустите sudo apparmor_status еще раз, и вы увидите, что профили Firefox загружены.
Чтобы отключить профиль Firefox, если он вызывает проблемы, выполните следующие команды:
судо лн -с /етс/аппартор.д/уср.бин.фирэфох /етс/аппартор.д/дисабле/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Для получения более подробной информации об использовании AppArmor обратитесь к официальному руководству по серверу Ubuntu страница в AppArmor .
