Kas ir AppArmor un kā tas saglabā Ubuntu Secure?
AppArmor ir svarīgs drošības elements, kas pēc noklusējuma ir iekļauts ar Ubuntu 7.10. Tomēr tas darbojas klusā fonā, tāpēc jūs, iespējams, nezināt, kas tas ir un ko tas dara.
AppArmor bloķē neaizsargātos procesus, ierobežojot šo procesu drošības ievainojamību. AppArmor var izmantot arī, lai bloķētu Mozilla Firefox, lai palielinātu drošību, taču tas to nedara pēc noklusējuma.
Kas ir AppArmor?
AppArmor ir līdzīgs SELinux, ko pēc noklusējuma izmanto Fedora un Red Hat. Kamēr viņi strādā atšķirīgi, gan AppArmor, gan SELinux nodrošina “obligāto piekļuves kontroles” (MAC) drošību. Faktiski, AppArmor ļauj Ubuntu izstrādātājiem ierobežot darbības procesus var veikt.
Piemēram, viena programma, kas ir ierobežota Ubuntu noklusējuma konfigurācijā, ir Evince PDF skatītājs. Lai gan Evince var darboties kā jūsu lietotāja konts, tā var veikt tikai konkrētas darbības. Evince ir tikai minimālās atļaujas, kas nepieciešamas, lai palaistu un strādātu ar PDF dokumentiem. Ja Evince PDF atveidotājā tika atklāta ievainojamība un jūs atvērāt ļaunprātīgu PDF dokumentu, kas pārņēma Evince, AppArmor ierobežotu Evince radīto kaitējumu. Tradicionālajā Linux drošības modelī Evince būtu pieejams viss, kas jums ir pieejams. Izmantojot AppArmor, tam ir piekļuve tikai lietām, kurām PDF skatītājam ir nepieciešama piekļuve.
AppArmor ir īpaši noderīga, lai ierobežotu izmantojamo programmatūru, piemēram, tīmekļa pārlūkprogrammu vai servera programmatūru.
AppArmor statusa skatīšana
Lai skatītu AppArmor statusu, terminālā palaidiet šādu komandu:
sudo apparmor_status
Jūs redzēsiet, vai AppArmor darbojas jūsu sistēmā (tas darbojas pēc noklusējuma), instalētie AppArmor profili un ierobežotie procesi, kas darbojas.
AppArmor profili
AppArmor procesus ierobežo profili. Iepriekš redzamajā sarakstā ir parādīti sistēmā instalētie protokoli - tie nāk ar Ubuntu. Varat arī instalēt citus profilus, instalējot pakotni apparmor-profile. Dažas paketes - servera programmatūra, piemēram, var nākt ar saviem AppArmor profiliem, kas tiek instalēti sistēmā kopā ar paketi. Varat arī izveidot savus AppArmor profilus, lai ierobežotu programmatūru.
Profili var darboties režīmā „sūdzības režīms” vai “piespiedu režīms”. Īstenošanas režīmā - noklusējuma iestatījums profiliem, kas nāk ar Ubuntu - AppArmor novērš lietojumprogrammu no ierobežotas darbības. Sūdzības režīmā AppArmor ļauj lietotnēm veikt ierobežotas darbības un izveido žurnāla ierakstu, kas sūdzas par to. Sūdzības režīms ir ideāls, lai pārbaudītu AppArmor profilu, pirms tas tiek iespējots izpildes režīmā - jūs redzēsiet kļūdas, kas varētu rasties piespiedu režīmā.
Profili tiek saglabāti direktorijā /etc/apparmor.d. Šie profili ir vienkārša teksta faili, kuros var būt komentāri.
AppArmor iespējošana Firefox
Jūs varat arī pamanīt, ka AppArmor nāk ar Firefox profilu - tas ir usr.bin.firefox failu /etc/apparmor.d direktoriju. Tā pēc noklusējuma nav iespējota, jo tā var pārāk ierobežot Firefox un radīt problēmas. The /etc/apparmor.d/disable mapē ir saite uz šo failu, norādot, ka tā ir atspējota.
Lai iespējotu Firefox profilu un ierobežotu Firefox ar AppArmor, palaidiet šādas komandas:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
kaķis /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser -a
Pēc šo komandu palaišanas palaidiet sudo apparmor_status un atkal redzēsiet, ka Firefox profili ir ielādēti.
Lai atspējotu Firefox profilu, ja tas rada problēmas, izpildiet šādas komandas:
sudo ln-/etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Plašāku informāciju par AppArmor lietošanu skatiet oficiālajā Ubuntu servera rokasgrāmatas lapā AppArmor.