AppArmor - важлива функція безпеки, яка за замовчуванням включена в Ubuntu з Ubuntu 7.10. Однак він працює у фоновому режимі безшумно, тому ви можете не знати, що це і що робить.
AppArmor блокує вразливі процеси, обмежуючи шкоду, яку можуть спричинити вразливі місця безпеки в цих процесах. AppArmor також можна використовувати для блокування Mozilla Firefox для підвищення безпеки, але він не робить цього за замовчуванням.
Що таке AppArmor?
AppArmor схожий на SELinux, який використовується за замовчуванням у Fedora та Red Hat. Хоча вони працюють по-різному, як AppArmor, так і SELinux забезпечують безпеку "обов'язкового контролю доступу" (MAC). По суті, AppArmor дозволяє розробникам Ubuntu обмежувати дії, які можуть виконувати процеси.
Наприклад, однією програмою, яка обмежена у конфігурації за замовчуванням Ubuntu, є програма перегляду Evince PDF. Хоча Evince може працювати як ваш обліковий запис користувача, він може вживати лише певні дії. Evince має лише мінімальний дозвіл, необхідний для запуску та роботи з документами PDF. Якщо у візуалізаторі PDF Evince виявили вразливість, і ви відкрили зловмисний PDF-документ, який перейняв Evince, AppArmor обмежить шкоду, яку може нанести Evince. У традиційній моделі безпеки Linux Evince мав би доступ до всього, до чого ви маєте доступ. З AppArmor він має доступ лише до речей, до яких переглядач PDF потребує доступу.
AppArmor особливо корисний для обмеження програмного забезпечення, яке може використовуватися, наприклад веб-браузера або серверного програмного забезпечення.
Перегляд статусу AppArmor
Щоб переглянути статус AppArmor, запустіть у терміналі таку команду:
sudo apparmor_status
Ви побачите, чи запущено AppArmor у вашій системі (він працює за замовчуванням), встановлені профілі AppArmor та запущені обмежені процеси.
Профілі AppArmor
В AppArmor процеси обмежені профілями. Наведений вище список показує нам протоколи, які встановлені в системі - вони постачаються з Ubuntu. Ви також можете встановити інші профілі, встановивши пакет apparmor-профілі. Деякі пакети - наприклад, серверне програмне забезпечення - можуть мати власні профілі AppArmor, які встановлюються в системі разом із пакетом. Ви також можете створити власні профілі AppArmor, щоб обмежити програмне забезпечення.
Профілі можуть працювати в "режимі скарги" або "режимі примусу". У примусовому режимі - налаштування за замовчуванням для профілів, що постачаються з Ubuntu - AppArmor забороняє програмам робити обмежені дії. У режимі скарги AppArmor дозволяє програмам здійснювати обмежені дії та створює запис журналу, на який скаржиться. Режим скарги ідеально підходить для тестування профілю AppArmor перед тим, як увімкнути його у режимі примусового використання - ви побачите будь-які помилки, які могли б виникнути у примусовому режимі.
Профілі зберігаються в каталозі /etc/apparmor.d. Ці профілі - це текстові файли, які можуть містити коментарі.
Увімкнення AppArmor для Firefox
Ви також можете помітити, що AppArmor постачається з профілем Firefox - це usr.bin.firefox файл у /etc/apparmor.d каталог. Це не ввімкнено за замовчуванням, оскільки це може занадто обмежити Firefox та спричинити проблеми. /etc/apparmor.d/disable папка містить посилання на цей файл, що вказує на те, що його вимкнено.
Щоб увімкнути профіль Firefox і обмежити Firefox за допомогою AppArmor, виконайте такі команди:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
Після запуску цих команд запустіть sudo apparmor_status ще раз, і ви побачите, що профілі Firefox тепер завантажені.
Щоб вимкнути профіль Firefox, якщо це спричиняє проблеми, виконайте такі команди:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Щоб отримати більш детальну інформацію про використання AppArmor, зверніться до офіційного посібника Ubuntu Server сторінку на AppArmor .
