AppArmor เป็นคุณลักษณะด้านความปลอดภัยที่สำคัญซึ่งรวมอยู่ใน Ubuntu โดยค่าเริ่มต้นตั้งแต่ Ubuntu 7.10 อย่างไรก็ตามมันทำงานอย่างเงียบ ๆ ในพื้นหลังดังนั้นคุณอาจไม่ทราบว่ามันคืออะไรและกำลังทำอะไร
AppArmor จะล็อกกระบวนการที่มีช่องโหว่การ จำกัด ช่องโหว่ด้านความปลอดภัยที่เสียหายในกระบวนการเหล่านี้อาจทำให้เกิด นอกจากนี้ยังสามารถใช้ AppArmor เพื่อล็อก Mozilla Firefox เพื่อเพิ่มความปลอดภัย แต่จะไม่ทำเช่นนี้โดยค่าเริ่มต้น
AppArmor คืออะไร?
AppArmor คล้ายกับ SELinux ซึ่งใช้เป็นค่าเริ่มต้นใน Fedora และ Red Hat แม้ว่าจะทำงานแตกต่างกัน แต่ทั้ง AppArmor และ SELinux ก็มีการรักษาความปลอดภัยแบบ "การควบคุมการเข้าถึงที่จำเป็น" (MAC) AppArmor อนุญาตให้นักพัฒนาของ Ubuntu จำกัด กระบวนการดำเนินการที่ทำได้
ตัวอย่างเช่นแอปพลิเคชันหนึ่งที่ถูก จำกัด ในการกำหนดค่าเริ่มต้นของ Ubuntu คือโปรแกรมดู Evince PDF แม้ว่า Evince อาจทำงานเป็นบัญชีผู้ใช้ของคุณ แต่ก็สามารถดำเนินการเฉพาะบางอย่างเท่านั้น Evince มีสิทธิ์ขั้นต่ำที่จำเป็นเท่านั้นในการเรียกใช้และทำงานกับเอกสาร PDF หากพบช่องโหว่ในโปรแกรมแสดงผล PDF ของ Evince และคุณเปิดเอกสาร PDF ที่เป็นอันตรายซึ่งเข้ายึดครอง Evince AppArmor จะจำกัดความเสียหายที่ Evince สามารถทำได้ ในรูปแบบการรักษาความปลอดภัยของ Linux แบบดั้งเดิม Evince จะสามารถเข้าถึงทุกสิ่งที่คุณเข้าถึงได้ ด้วย AppArmor จะเข้าถึงเฉพาะสิ่งที่โปรแกรมดู PDF ต้องการเข้าถึงเท่านั้น
AppArmor มีประโยชน์อย่างยิ่งสำหรับการ จำกัด ซอฟต์แวร์ที่อาจถูกใช้ประโยชน์เช่นเว็บเบราว์เซอร์หรือซอฟต์แวร์เซิร์ฟเวอร์
การดูสถานะของ AppArmor
หากต้องการดูสถานะของ AppArmor ให้เรียกใช้คำสั่งต่อไปนี้ในเทอร์มินัล:
sudo apparmor_status
คุณจะเห็นว่า AppArmor ทำงานบนระบบของคุณหรือไม่ (ทำงานโดยค่าเริ่มต้น) โปรไฟล์ AppArmor ที่ติดตั้งและกระบวนการที่ จำกัด ที่กำลังทำงานอยู่
โปรไฟล์ AppArmor
ใน AppArmor กระบวนการถูก จำกัด โดยโปรไฟล์ รายการด้านบนแสดงให้เราเห็นโปรโตคอลที่ติดตั้งบนระบบซึ่งมาพร้อมกับ Ubuntu คุณยังสามารถติดตั้งโปรไฟล์อื่น ๆ ได้โดยติดตั้งแพ็คเกจ apparmor-profiles แพคเกจบางอย่างเช่นซอฟต์แวร์เซิร์ฟเวอร์อาจมาพร้อมกับโปรไฟล์ AppArmor ของตัวเองที่ติดตั้งในระบบพร้อมกับแพ็คเกจ คุณยังสามารถสร้างโปรไฟล์ AppArmor ของคุณเองเพื่อ จำกัด ซอฟต์แวร์
โปรไฟล์สามารถทำงานใน "โหมดบ่น" หรือ "บังคับใช้โหมด" ในโหมดบังคับใช้ - การตั้งค่าเริ่มต้นสำหรับโปรไฟล์ที่มาพร้อมกับ Ubuntu - AppArmor ป้องกันไม่ให้แอปพลิเคชันดำเนินการที่ จำกัด ในโหมดบ่น AppArmor อนุญาตให้แอปพลิเคชันดำเนินการที่ จำกัด และสร้างรายการบันทึกที่บ่นเกี่ยวกับเรื่องนี้ โหมดการร้องเรียนเหมาะอย่างยิ่งสำหรับการทดสอบโปรไฟล์ AppArmor ก่อนที่จะเปิดใช้งานในโหมดบังคับใช้คุณจะเห็นข้อผิดพลาดที่จะเกิดขึ้นในโหมดบังคับใช้
โปรไฟล์ถูกเก็บไว้ในไดเร็กทอรี /etc/apparmor.d โปรไฟล์เหล่านี้เป็นไฟล์ข้อความธรรมดาที่สามารถมีข้อคิดเห็น
การเปิดใช้งาน AppArmor สำหรับ Firefox
คุณอาจสังเกตเห็นว่า AppArmor มาพร้อมกับโปรไฟล์ Firefox ซึ่งเป็นไฟล์ usr.bin.firefox ไฟล์ในไฟล์ /etc/apparmor.d ไดเรกทอรี ไม่ได้เปิดใช้งานโดยค่าเริ่มต้นเนื่องจากอาจ จำกัด Firefox มากเกินไปและทำให้เกิดปัญหา /etc/apparmor.d/disable โฟลเดอร์มีลิงก์ไปยังไฟล์นี้ซึ่งบ่งชี้ว่าถูกปิดใช้งาน
ในการเปิดใช้งานโปรไฟล์ Firefox และ จำกัด Firefox ด้วย AppArmor ให้รันคำสั่งต่อไปนี้:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
แมว /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
หลังจากคุณรันคำสั่งเหล่านี้ให้รันไฟล์ sudo apparmor_status คำสั่งอีกครั้งและคุณจะเห็นว่าโปรไฟล์ Firefox ถูกโหลดแล้ว
หากต้องการปิดใช้งานโปรไฟล์ Firefox หากทำให้เกิดปัญหาให้เรียกใช้คำสั่งต่อไปนี้:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการใช้ AppArmor โปรดดูคู่มือเซิร์ฟเวอร์ Ubuntu อย่างเป็นทางการ หน้าบน AppArmor .
