AppArmor bloķē neaizsargātos procesus, ierobežojot kaitējumu, kas var radīt drošības ievainojamību šajos procesos. AppArmor var arī izmantot, lai bloķētu Mozilla Firefox palielinātu drošību, taču pēc noklusējuma tas netiek darīts.
Kas ir AppArmor?
AppArmor ir līdzīgs SELinux, ko pēc noklusējuma izmanto Fedora un Red Hat. Kamēr viņi strādā atšķirīgi, gan AppArmor, gan SELinux nodrošina "obligātu piekļuves kontroli" (MAC) drošību. Faktiski AppArmor ļauj Ubuntu izstrādātājiem ierobežot darbības, kuras procesi var veikt.
Piemēram, viena lieta, kas ir ierobežota Ubuntu noklusējuma konfigurācijā, ir Evince PDF skatītājs. Lai gan Evince var darboties kā jūsu lietotāja konts, tas var veikt tikai konkrētas darbības. Tikai Evindes rīcībā ir tikai minimālās atļaujas, kas nepieciešamas, lai palaistu un strādātu ar PDF dokumentiem. Ja Evince PDF renderētājā tika atklāta neaizsargātība un jūs atklājat ļaunprātīgu PDF dokumentu, kas pārņēma Evince, AppArmor ierobežotu kaitējumu, ko Evince varēja darīt. Tradicionālajā Linux drošības modelī Evince būs pieejams viss, kas jums ir pieejams. Izmantojot programmu AppArmor, tai ir piekļuve tikai lietām, kas PDF skatītājam ir nepieciešama piekļuve.
AppArmor ir īpaši noderīgs, lai ierobežotu programmatūru, kuru var izmantot, piemēram, tīmekļa pārlūkprogrammu vai servera programmatūru.
Apskatot AppArmor statusu
Lai apskatītu AppArmor statusu, palaidiet tālāk norādīto komandu terminālā:
sudo apparmor_status
Jūs redzēsiet, vai AppArmor darbojas jūsu sistēmā (tā darbojas pēc noklusējuma), instalētie AppArmor profili un darbojas ierobežotie procesi.
AppArmor Profili
Programmā AppArmor procesus ierobežo profili. Iepriekš minētais saraksts parāda mums protokolus, kas ir instalēti sistēmā - tie nāk ar Ubuntu. Jūs varat arī instalēt citus profilus, instalējot paketi apparmor profiliem. Piemēram, daži iepakojumi, piemēram, servera programmatūra, var ietvert savus AppArmor profilus, kas tiek instalēti sistēmā kopā ar paketi. Jūs varat arī izveidot savus AppArmor profilus, lai ierobežotu programmatūru.
Profili var darboties "sūdzību režīmā" vai "izpildes režīmā". Izpildes režīmā - noklusējuma iestatījums profiliem, kas nāk ar Ubuntu - AppArmor neļauj pieteikumiem veikt ierobežotas darbības. Sūdzību režīmā AppArmor ļauj pieteikumiem veikt ierobežotas darbības un izveido žurnāla ierakstu, kurā sūdzas par to. Sūdzību režīms ir ideāls, lai pārbaudītu AppArmor profilu, pirms to aktivizēt izpildes režīmā - jūs redzēsit visas kļūdas, kas varētu rasties izpildes režīmā.
Profili tiek saglabāti direktorijā /etc/apparmor.d. Šie profili ir vienkāršie teksta faili, kas var saturēt komentārus.
Iespējot AppArmor Firefox
Jūs arī varat pamanīt, ka AppArmor ir aprīkots ar Firefox profilu - tas ir usr.bin.firefox failu /etc/apparmor.d katalogs. Pēc noklusējuma tā nav iespējota, jo Firefox var pārlieku ierobežot un izraisīt problēmas. The /etc/apparmor.d/disable mapē ir saite uz šo failu, norādot, ka tā ir atspējota.
Lai iespējotu Firefox profilu un ierobežotu Firefox ar AppArmor, izpildiet šādas komandas:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
Pēc šo komandu palaišanas palaidiet sudo apparmor_status atkal komandu un jūs redzēsiet, ka tagad Firefox profili ir ielādēti.
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Plašāku informāciju par AppArmor lietošanu skatiet oficiālajā Ubuntu servera rokasgrāmatas lapā AppArmor.