AppArmor to ważna funkcja bezpieczeństwa, która jest domyślnie dołączana do Ubuntu od wersji Ubuntu 7.10. Działa jednak cicho w tle, więc możesz nie być świadomy, co to jest i co robi.
AppArmor blokuje wrażliwe procesy, ograniczając szkody, jakie mogą powodować luki w zabezpieczeniach tych procesów. AppArmor może być również używany do blokowania przeglądarki Mozilla Firefox w celu zwiększenia bezpieczeństwa, ale nie robi tego domyślnie.
Co to jest AppArmor?
AppArmor jest podobny do SELinux, używanego domyślnie w Fedorze i Red Hat. Chociaż działają one inaczej, zarówno AppArmor, jak i SELinux zapewniają zabezpieczenia „obowiązkowej kontroli dostępu” (MAC). W efekcie AppArmor pozwala programistom Ubuntu ograniczać działania, które mogą podejmować procesy.
Na przykład jedną z aplikacji, która jest ograniczona w domyślnej konfiguracji Ubuntu, jest przeglądarka plików PDF Evince. Chociaż Evince może działać jako Twoje konto użytkownika, może wykonywać tylko określone działania. Evince ma tylko minimalne uprawnienia potrzebne do uruchamiania i pracy z dokumentami PDF. Jeśli wykryto lukę w rendererze PDF Evince i otworzysz złośliwy dokument PDF, który przejął Evince, AppArmor ograniczy szkody, które może wyrządzić Evince. W tradycyjnym modelu bezpieczeństwa Linuksa Evince miałby dostęp do wszystkiego, do czego masz dostęp. Dzięki AppArmor ma dostęp tylko do rzeczy, do których przeglądarka plików PDF potrzebuje dostępu.
AppArmor jest szczególnie przydatny do ograniczania oprogramowania, które może zostać wykorzystane, takiego jak przeglądarka internetowa lub oprogramowanie serwera.
Wyświetlanie statusu AppArmor
Aby wyświetlić stan AppArmor, uruchom następujące polecenie w terminalu:
sudo apparmor_status
Zobaczysz, czy AppArmor działa w twoim systemie (działa domyślnie), jakie są zainstalowane profile AppArmor i jakie są uruchomione ograniczone procesy.
Profile AppArmor
W AppArmor procesy są ograniczone przez profile. Powyższa lista pokazuje nam protokoły zainstalowane w systemie – te są dostarczane z Ubuntu. Możesz także zainstalować inne profile, instalując pakiet apparmor-profiles. Niektóre pakiety – na przykład oprogramowanie serwerowe – mogą być dostarczane z własnymi profilami AppArmor, które są instalowane w systemie wraz z pakietem. Możesz także tworzyć własne profile AppArmor, aby ograniczyć oprogramowanie.
Profile mogą działać w „trybie reklamacji” lub „trybie egzekwowania”. W trybie wymuszania – domyślne ustawienie dla profili dostarczanych z Ubuntu – AppArmor uniemożliwia aplikacjom podejmowanie ograniczonych działań. W trybie skarg AppArmor pozwala aplikacjom na podejmowanie ograniczonych działań i tworzy wpis w dzienniku, w którym narzeka na to. Tryb reklamacji jest idealny do testowania profilu AppArmor przed włączeniem go w trybie wymuszania — zobaczysz wszelkie błędy, które wystąpiłyby w trybie wymuszania.
Profile są przechowywane w katalogu /etc/apparmor.d. Profile te to zwykłe pliki tekstowe, które mogą zawierać komentarze.
Włączanie AppArmor dla Firefoksa
Możesz również zauważyć, że AppArmor jest wyposażony w profil Firefoksa – jest to usr.bin.firefox plik w /etc/apparmor.d informator. Domyślnie nie jest włączona, ponieważ może za bardzo ograniczać Firefoksa i powodować problemy. /etc/apparmor.d/disable folder zawiera łącze do tego pliku, wskazujące, że jest on wyłączony.
Aby włączyć profil Firefox i ograniczyć Firefox z AppArmor, uruchom następujące polecenia:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
kot /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
Po uruchomieniu tych poleceń uruchom sudo apparmor_status polecenie ponownie, a zobaczysz, że profile Firefoksa są teraz załadowane.
Aby wyłączyć profil Firefoksa, jeśli powoduje on problemy, uruchom następujące polecenia:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Więcej szczegółowych informacji na temat korzystania z AppArmor można znaleźć w oficjalnym przewodniku po Ubuntu Server Ubuntu strona na AppArmor.