Mi az AppArmor, és hogyan tartja az Ubuntu Secure-t?

Tartalomjegyzék:

Mi az AppArmor, és hogyan tartja az Ubuntu Secure-t?
Mi az AppArmor, és hogyan tartja az Ubuntu Secure-t?

Videó: Mi az AppArmor, és hogyan tartja az Ubuntu Secure-t?

Videó: Mi az AppArmor, és hogyan tartja az Ubuntu Secure-t?
Videó: 5 Ways to Install Linux Packages | Getting Software on Linux - YouTube 2024, November
Anonim
Az AppArmor egy fontos biztonsági funkció, amelyet alapértelmezés szerint az Ubuntu az Ubuntu 7.10 óta tartalmaz. Azonban a háttérben csendben működik, ezért lehet, hogy nem ismeri, mi az, és mit csinál.
Az AppArmor egy fontos biztonsági funkció, amelyet alapértelmezés szerint az Ubuntu az Ubuntu 7.10 óta tartalmaz. Azonban a háttérben csendben működik, ezért lehet, hogy nem ismeri, mi az, és mit csinál.

Az AppArmor leállítja a sebezhető folyamatokat, korlátozva ezzel a károkra a biztonsági folyamatok sebezhetőségét. Az AppArmor is használható a Mozilla Firefox zárolására a nagyobb biztonság érdekében, de alapértelmezés szerint ezt nem teszi meg.

Mi az AppArmor?

Az AppArmor hasonló a SELinuxhoz, amelyet alapértelmezés szerint a Fedora és a Red Hat használ. Bár másképp működnek, mind az AppArmor, mind a SELinux "kötelező hozzáférés-szabályozás" (MAC) biztonságot nyújt. Valójában az AppArmor lehetővé teszi az Ubuntu fejlesztõi számára, hogy korlátozzák az akció folyamatait.

Például egy olyan alkalmazás, amely az Ubuntu alapértelmezett konfigurációjában korlátozott, az Evince PDF néző. Bár az Evince felhasználói fiókodként működhet, csak meghatározott lépéseket tehet. Az Evince csak a minimális engedélyekkel rendelkezik a PDF dokumentumok futtatásához és működtetéséhez. Ha az Evince PDF renderelőben felfedeztek sebezhetőséget, és megnyitott egy rosszindulatú PDF dokumentumot, amely átvette az Evince-t, az AppArmor korlátozni fogja az Evince által okozott károkat. A hagyományos Linux biztonsági modellben az Evince mindenhez hozzáférhetett, amivel hozzáférhet. Az AppArmor használatával csak olyan dolgok férhetnek hozzá, amelyeket a PDF-nézőnek hozzáféréssel kell rendelkeznie.

Az AppArmor különösen hasznos a korlátozott szoftverek korlátozására, például web böngészőre vagy kiszolgálószoftverre.

Az AppArmor státuszának megtekintése

Az AppArmor állapotának megtekintéséhez futtassa a következő parancsot egy terminálon:

sudo apparmor_status

Megtudhatja, hogy az AppArmor fut-e a rendszerén (alapértelmezés szerint fut), az AppArmor profilokat, amelyek telepítve vannak, és a korlátozott folyamatok futnak.

Image
Image

AppArmor profilok

Az AppArmorban a folyamatokat profilok korlátozzák. A fenti listán bemutatjuk a rendszeren telepített protokollokat - ezek az Ubuntu szoftverek. Más profilokat is telepíthet az apparmor-profilok csomag telepítésével. Bizonyos csomagok - például a kiszolgálószoftverek - saját csomaggal ellátott AppArmor profilokat is tartalmazhatnak. Saját AppArmor profilokat is létrehozhat a szoftver korlátozásához.

A profilok "panaszos módban" vagy "érvényesítési módban" futtathatók. Végrehajtási módban - az Ubuntu - AppArmor programhoz tartozó profilok alapértelmezett beállítása megakadályozza az alkalmazások korlátozott műveletek végrehajtását. Panaszkodási módban az AppArmor lehetővé teszi az alkalmazások számára, hogy korlátozott műveleteket hajtsanak végre, és ezzel kapcsolatban naplóbejegyzést hoznak létre. A panaszkodási mód ideális AppArmor-profil teszteléséhez, mielőtt érvényesítési módban engedélyezi azt - láthatja a végrehajtási módban előforduló hibákat.

A profilok a /etc/apparmor.d könyvtárban vannak tárolva. Ezek a profilok olyan egyszerű szövegű fájlok, amelyek megjegyzéseket tartalmazhatnak.

Image
Image

Az AppArmor engedélyezése a Firefoxhoz

Azt is észreveheti, hogy az AppArmor Firefox-profillal rendelkezik - ez a usr.bin.firefox fájl a /etc/apparmor.d Könyvtár. Alapértelmezés szerint nincs engedélyezve, mert túlságosan korlátozhatja a Firefoxot és problémákat okozhat. A /etc/apparmor.d/disable mappa tartalmaz egy hivatkozást erre a fájlra, jelezve, hogy le van tiltva.

A Firefox-profil engedélyezéséhez és az AppArmor Firefox-ra korlátozásához futtassa a következő parancsokat:

sudo rm /etc/apparmor.d/disable/usr.bin.firefox

cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a

Miután futtatod ezeket a parancsokat, futtasd a sudo apparmor_status parancsot, és látni fogja, hogy a Firefox profilok betöltődnek.

A Firefox-profil letiltásához, ha problémákat okoz, futtassa a következő parancsokat:
A Firefox-profil letiltásához, ha problémákat okoz, futtassa a következő parancsokat:

sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/

sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox

Az AppArmor használatával kapcsolatos részletes információkért olvassa el a hivatalos Ubuntu Server Guide oldalát az AppArmor webhelyen.

Ajánlott: