"AppArmor" apriboja pažeidžiamus procesus, kurie gali apsunkinti šių procesų saugumą. "AppArmor" taip pat gali būti naudojamas siekiant užblokuoti "Mozilla Firefox" padidintą saugumą, tačiau pagal numatytuosius nustatymus tai nepadaro.
Kas yra AppArmor?
"AppArmor" yra panašus į "SELinux", kuris pagal nutylėjimą naudojamas "Fedora" ir "Red Hat". Nors jie veikia skirtingai, "AppArmor" ir "SELinux" teikia "privalomos prieigos kontrolės" (MAC) saugumą. Iš tikrųjų "AppArmor" leidžia Ubuntu kūrėjams apriboti veiksmų procesus.
Pavyzdžiui, viena programa, kuri pagal Ubuntu numatytąją konfigūraciją yra apribota, yra Evince PDF žiūryklė. Nors "Evince" gali būti naudojama kaip jūsų vartotojo paskyra, ji gali imtis tik konkrečių veiksmų. "Evince" turi tik minimalius leidimus, reikalingus paleisti ir dirbti su PDF dokumentais. Jei "Evince's PDF renderer" buvo aptiktas pažeidžiamumas ir atidarėte kenkėjišką PDF dokumentą, kuris perėmė Evince, "AppArmor" apriboja žalą, kurią Evince galėjo padaryti. Tradiciniame "Linux" saugumo modelyje "Evince" turėtų prieigą prie visko, prie kurio galite prisijungti. Programoje "AppArmor" prieinama tik tai, ką PDF žiūryklę reikia pasiekti.
"AppArmor" ypač naudinga norint apriboti programinę įrangą, kuri gali būti naudojama, pvz., Žiniatinklio naršyklę ar serverių programinę įrangą.
"AppArmor" būsenos peržiūra
Jei norite peržiūrėti "AppArmor" būseną, paleiskite šią komandą terminale:
sudo apparmor_status
Pamatysite, ar "AppArmor" veikia jūsų sistemoje (ji veikia pagal nutylėjimą), įdiegtus "AppArmor" profilius ir veikiančius apribotus procesus.
"AppArmor" profiliai
"AppArmor" procesuose yra apriboti profiliai. Aukščiau pateiktas sąrašas parodo mums sistemoje įdiegtus protokolus - jie ateina su Ubuntu. Taip pat galite įdiegti kitus profilius, įdiekdami "apparmor" profilių paketą. Pavyzdžiui, kai kurie paketai - pavyzdžiui, serverio programinė įranga gali turėti savo "AppArmor" profilius, kurie įdiegiami sistemoje kartu su paketu. Taip pat galite sukurti savo "AppArmor" profilius, norėdami apriboti programinę įrangą.
Profiliai gali būti rodomi "skundų režimu" arba "vykdymo režimu". Priverstinio režimo atveju - pagal numatytuosius profilius, kurie pateikiami su Ubuntu, AppArmor neleidžia programoms imtis ribotų veiksmų. Skundų režimu "AppArmor" leidžia programoms atlikti ribotus veiksmus ir sukuria žurnalo įrašą, kuriame skundžiasi apie tai. Skundų režimas idealiai tinka "AppArmor" profilio testavimui, prieš jį įjungiant vykdymo režimu - matysite bet kokias klaidas, kurios gali įvykti vykdymo režimu.
Aplankai saugomi kataloge /etc/apparmor.d. Šie profiliai yra paprastojo teksto failai, kuriuose gali būti komentarų.
"AppArmor" įgalinimas "Firefox"
Taip pat galite pastebėti, kad "AppArmor" turi "Firefox" profilį - tai yra usr.bin.firefox failą /etc/apparmor.d katalogas. Pagal numatytuosius nustatymus jis neįjungtas, nes tai gali apriboti "Firefox" per daug ir sukelti problemų. The /etc/apparmor.d/disable aplanke yra nuoroda į šį failą, nurodant, kad jis išjungtas.
Norėdami įjungti "Firefox" profilį ir apriboti "Firefox" su "AppArmor", paleiskite šias komandas:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
Paleidus šias komandas paleiskite sudo apparmor_status pakartokite komandą ir pamatysite, kad "Firefox" profiliai dabar yra įkelti.
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Daugiau informacijos apie "AppArmor" naudojimą rasite "AppArmor" oficialiame "Ubuntu Server Guide" puslapyje.