Az AppArmor leállítja a sebezhető folyamatokat, korlátozva ezzel a károkra a biztonsági folyamatok sebezhetőségét. Az AppArmor is használható a Mozilla Firefox zárolására a nagyobb biztonság érdekében, de alapértelmezés szerint ezt nem teszi meg.
Mi az AppArmor?
Az AppArmor hasonló a SELinuxhoz, amelyet alapértelmezés szerint a Fedora és a Red Hat használ. Bár másképp működnek, mind az AppArmor, mind a SELinux "kötelező hozzáférés-szabályozás" (MAC) biztonságot nyújt. Valójában az AppArmor lehetővé teszi az Ubuntu fejlesztõi számára, hogy korlátozzák az akció folyamatait.
Például egy olyan alkalmazás, amely az Ubuntu alapértelmezett konfigurációjában korlátozott, az Evince PDF néző. Bár az Evince felhasználói fiókodként működhet, csak meghatározott lépéseket tehet. Az Evince csak a minimális engedélyekkel rendelkezik a PDF dokumentumok futtatásához és működtetéséhez. Ha az Evince PDF renderelőben felfedeztek sebezhetőséget, és megnyitott egy rosszindulatú PDF dokumentumot, amely átvette az Evince-t, az AppArmor korlátozni fogja az Evince által okozott károkat. A hagyományos Linux biztonsági modellben az Evince mindenhez hozzáférhetett, amivel hozzáférhet. Az AppArmor használatával csak olyan dolgok férhetnek hozzá, amelyeket a PDF-nézőnek hozzáféréssel kell rendelkeznie.
Az AppArmor különösen hasznos a korlátozott szoftverek korlátozására, például web böngészőre vagy kiszolgálószoftverre.
Az AppArmor státuszának megtekintése
Az AppArmor állapotának megtekintéséhez futtassa a következő parancsot egy terminálon:
sudo apparmor_status
Megtudhatja, hogy az AppArmor fut-e a rendszerén (alapértelmezés szerint fut), az AppArmor profilokat, amelyek telepítve vannak, és a korlátozott folyamatok futnak.
AppArmor profilok
Az AppArmorban a folyamatokat profilok korlátozzák. A fenti listán bemutatjuk a rendszeren telepített protokollokat - ezek az Ubuntu szoftverek. Más profilokat is telepíthet az apparmor-profilok csomag telepítésével. Bizonyos csomagok - például a kiszolgálószoftverek - saját csomaggal ellátott AppArmor profilokat is tartalmazhatnak. Saját AppArmor profilokat is létrehozhat a szoftver korlátozásához.
A profilok "panaszos módban" vagy "érvényesítési módban" futtathatók. Végrehajtási módban - az Ubuntu - AppArmor programhoz tartozó profilok alapértelmezett beállítása megakadályozza az alkalmazások korlátozott műveletek végrehajtását. Panaszkodási módban az AppArmor lehetővé teszi az alkalmazások számára, hogy korlátozott műveleteket hajtsanak végre, és ezzel kapcsolatban naplóbejegyzést hoznak létre. A panaszkodási mód ideális AppArmor-profil teszteléséhez, mielőtt érvényesítési módban engedélyezi azt - láthatja a végrehajtási módban előforduló hibákat.
A profilok a /etc/apparmor.d könyvtárban vannak tárolva. Ezek a profilok olyan egyszerű szövegű fájlok, amelyek megjegyzéseket tartalmazhatnak.
Az AppArmor engedélyezése a Firefoxhoz
Azt is észreveheti, hogy az AppArmor Firefox-profillal rendelkezik - ez a usr.bin.firefox fájl a /etc/apparmor.d Könyvtár. Alapértelmezés szerint nincs engedélyezve, mert túlságosan korlátozhatja a Firefoxot és problémákat okozhat. A /etc/apparmor.d/disable mappa tartalmaz egy hivatkozást erre a fájlra, jelezve, hogy le van tiltva.
A Firefox-profil engedélyezéséhez és az AppArmor Firefox-ra korlátozásához futtassa a következő parancsokat:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
Miután futtatod ezeket a parancsokat, futtasd a sudo apparmor_status parancsot, és látni fogja, hogy a Firefox profilok betöltődnek.
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Az AppArmor használatával kapcsolatos részletes információkért olvassa el a hivatalos Ubuntu Server Guide oldalát az AppArmor webhelyen.
