Kaj je AppArmor in kako naj bo Ubuntu varen?
AppArmor je pomembna varnostna funkcija, ki je bila privzeto vključena v Ubuntu od Ubuntu 7.10. Toda v ozadju teče tiho, zato se morda ne zavedate, kaj je to in kaj počne.
AppArmor zaklene ranljive procese, kar omejuje škodljive varnostne ranljivosti v teh procesih. AppArmor se lahko uporablja tudi za zaklepanje Mozilla Firefox za večjo varnost, vendar to ne počne privzeto.
Kaj je AppArmor?
AppArmor je podoben SELinux, ki je privzeto uporabljen v Fedori in Red Hatu. Čeprav delata drugače, AppArmor in SELinux zagotavljata »obvezen nadzor dostopa« (MAC). V bistvu AppArmor omogoča razvijalcem Ubuntuja, da omejijo procese delovanja.
Na primer, ena od aplikacij, ki je omejena v privzeti konfiguraciji Ubuntuja, je pregledovalnik PDF v Evince. Čeprav lahko Evince deluje kot vaš uporabniški račun, lahko sprejme samo določene ukrepe. Evince ima samo najmanj dovoljenj, potrebnih za zagon in delo z dokumenti PDF. Če je bila ranljivost odkrita v Evincejevem programu za upodabljanje PDF in ste odprli zlonamerni dokument PDF, ki je prevzel Evince, bi AppArmor omejil škodo, ki bi jo Evince lahko storil. V tradicionalnem varnostnem modelu Linux bi imel Evince dostop do vsega, do česar imate dostop. Z aplikacijo AppArmor ima dostop samo do stvari, do katerih potrebuje pregledovalnik PDF.
AppArmor je še posebej uporaben za omejevanje programske opreme, ki jo je mogoče izkoristiti, kot je spletni brskalnik ali strežniška programska oprema.
Ogled stanja AppArmor
Če si želite ogledati stanje aplikacije AppArmor, v terminalu zaženite naslednji ukaz:
sudo apparmor_status
Videli boste, ali se AppArmor izvaja v vašem sistemu (privzeto se izvaja), nameščeni profili AppArmor in omejeni procesi, ki se izvajajo.
Profili AppArmor
V AppArmorju so procesi omejeni s profili. Zgornji seznam nam kaže protokole, ki so nameščeni v sistemu - ti prihajajo z Ubuntu. Namestite lahko tudi druge profile tako, da namestite paket apparmor-profiles. Nekateri paketi - na primer strežniška programska oprema - imajo lahko svoje lastne profile AppArmor, ki so nameščeni v sistemu skupaj s paketom. Prav tako lahko ustvarite lastne profile AppArmor za omejevanje programske opreme.
Profili se lahko izvajajo v načinu »pritožbe« ali »uveljavljanju«. V načinu uveljavljanja - privzeta nastavitev za profile, ki prihajajo z Ubuntu - AppArmor, preprečuje, da bi aplikacije izvajale omejene ukrepe. V načinu pritožbe AppArmor aplikacijam dovoljuje izvajanje omejenih dejanj in ustvarja vnos v dnevnik, ki se pritožuje zaradi tega. Način pritožbe je idealen za preskušanje profila AppArmor, preden ga omogočite v načinu uveljavljanja - videli boste vse napake, ki bi se pojavile v načinu uveljavljanja..
Profili so shranjeni v imeniku /etc/apparmor.d. Ti profili so datoteke z navadnim besedilom, ki lahko vsebujejo komentarje.
Omogočanje aplikacije AppArmor za Firefox
Prav tako lahko opazite, da AppArmor prihaja s profilom Firefox - to je usr.bin.firefox v datoteki /etc/apparmor.d imenik. Privzeto ni omogočen, saj lahko preveč omeji Firefox in povzroči težave. The /etc/apparmor.d/disable vsebuje povezavo do te datoteke, kar pomeni, da je onemogočena.
Če želite omogočiti profil Firefox in omejiti Firefox z AppArmor, zaženite naslednje ukaze:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser -a
Ko zaženete te ukaze, zaženite sudo apparmor_status še enkrat, in videli boste, da so profili Firefoxa naloženi.
Če želite onemogočiti profil Firefox, če povzroča težave, zaženite te ukaze:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Za podrobnejše informacije o uporabi AppArmor poglejte uradno stran Ubuntu Server Guide na AppArmor.