Какво е AppArmor и как поддържа Ubuntu Secure?
AppArmor е важна функция за сигурност, включена по подразбиране с Ubuntu след Ubuntu 7.10. Въпреки това, тя работи тихо във фонов режим, така че може да не сте наясно какво е това и какво прави.
AppArmor блокира уязвимите процеси, ограничавайки уязвимостите на сигурността в тези процеси. AppArmor може да се използва и за заключване на Mozilla Firefox за по-голяма сигурност, но не го прави по подразбиране.
Какво е AppArmor?
AppArmor е подобен на SELinux, използван по подразбиране във Fedora и Red Hat. Докато те работят по различен начин, и AppArmor, и SELinux осигуряват „задължителна защита на достъпа“ (MAC). Всъщност AppArmor позволява на разработчиците на Ubuntu да ограничават действията, които процесите могат да предприемат.
Например, едно приложение, което е ограничено в стандартната конфигурация на Ubuntu, е Evince PDF viewer. Докато Evince може да работи като ваш потребителски акаунт, той може да предприеме конкретни действия. Evince има само минималните разрешения, необходими за пускане и работа с PDF документи. Ако уязвимостта е била открита в PDF визуализатора на Evince и сте отворили злонамерен PDF документ, който пое Evince, AppArmor ще ограничи щетите, които Evince може да направи. В традиционния модел за сигурност на Linux, Evince ще има достъп до всичко, до което имате достъп. С AppArmor има достъп само до неща, до които е необходим достъп на PDF viewer.
AppArmor е особено полезен за ограничаване на софтуер, който може да бъде използван, като например уеб браузър или сървърен софтуер.
Преглед на статуса на AppArmor
За да видите състоянието на AppArmor, изпълнете следната команда в терминал:
sudo apparmor_status
Ще видите дали AppArmor работи на вашата система (работи по подразбиране), инсталираните профили на AppArmor и ограничените процеси, които се изпълняват.
Профили на AppArmor
В AppArmor процесите са ограничени от профили. Горният списък ни показва протоколите, които са инсталирани в системата - тези са с Ubuntu. Можете също да инсталирате други профили, като инсталирате пакета apparmor-profiles. Някои пакети - сървърен софтуер, например - могат да идват със собствени профили на AppArmor, които са инсталирани в системата заедно с пакета. Можете също така да създадете собствени профили на AppArmor, за да ограничите софтуера.
Профилите могат да се изпълняват в „режим на оплаквания“ или в „принудителен режим“. В принудителния режим настройката по подразбиране за профилите, които идват с Ubuntu - AppArmor, не позволява на приложенията да предприемат ограничени действия. В режим на оплакване, AppArmor позволява на приложенията да предприемат ограничени действия и създава вписване в регистъра, което се оплаква от това. Режимът на подаване на жалби е идеален за тестване на профил на AppArmor, преди да го активирате в режим на принудително изпълнение - ще видите всички грешки, които биха възникнали в режим на прилагане.
Профилите се съхраняват в директорията /etc/apparmor.d. Тези профили са обикновени текстови файлове, които могат да съдържат коментари.
Активиране на AppArmor за Firefox
Може също да забележите, че AppArmor идва с профил в Firefox - това е usr.bin.firefox файл в. \ t /etc/apparmor.d директория. Той не е активиран по подразбиране, тъй като може да ограничи твърде много Firefox и да причини проблеми. Най- /etc/apparmor.d/disable папката съдържа връзка към този файл, показваща, че е деактивирана.
За да активирате профила на Firefox и да ограничите Firefox с AppArmor, изпълнете следните команди:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser -a
След като изпълните тези команди, стартирайте sudo apparmor_status започнете отново и ще видите, че профилите на Firefox вече са заредени.
За да деактивирате профила на Firefox, ако причинява проблеми, изпълнете следните команди:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
За по-подробна информация за използването на AppArmor, консултирайте се с официалната страница на Ubuntu Server Guide на AppArmor.