Mis on AppArmor ja kuidas see Ubuntu Turvaline?
AppArmor on oluline turvaelement, mis on Ubuntu 7.10 järel vaikimisi kaasatud. Kuid see töötab taustal vaikselt, nii et te ei pruugi olla teadlik sellest, mis see on ja mida ta teeb.
AppArmor lukustab haavatavad protsessid, piirates nende protsesside tekitatud kahju. AppArmori saab kasutada ka Mozilla Firefoxi lukustamiseks turvalisuse suurendamiseks, kuid seda ei tehta vaikimisi.
Mis on AppArmor?
AppArmor on sarnane SELinuxile, mida kasutatakse vaikimisi Fedoras ja Red Hatis. Kuigi nad töötavad erinevalt, pakuvad nii AppArmor kui ka SELinux “kohustuslikku juurdepääsu kontrolli” (MAC) turvalisust. Tegelikult võimaldab AppArmor Ubuntu arendajatel piirata tegevuste protsesse.
Näiteks üks rakendus, mis on Ubuntu vaikekonfiguratsioonis piiratud, on Evince PDF-vaataja. Kuigi Evince võib olla teie kasutajakonto, võib see võtta ainult konkreetseid meetmeid. Evince'l on ainult minimaalsed õigused, mis on vajalikud PDF-dokumentide käitamiseks ja töötamiseks. Kui Evince'i PDF-renderist avastati haavatavus ja avasite pahatahtliku PDF-dokumendi, mis võttis üle Evince'i, piiraks AppArmor Evince'i kahjustusi. Traditsioonilises Linuxi turvamudelis oleks Evinceil juurdepääs kõigile, millele teil on juurdepääs. AppArmoriga on sellel juurdepääs ainult asjadele, mida PDF-vaataja vajab.
AppArmor on eriti kasulik tarkvara, mida võidakse kasutada, näiteks veebibrauseri või serveritarkvara piiramiseks.
AppArmori oleku vaatamine
AppArmori oleku vaatamiseks käivitage terminalis järgmine käsk:
sudo apparmor_status
Näete, kas AppArmor töötab teie süsteemis (see töötab vaikimisi), installitud AppArmori profiilid ja töötavad piiratud protsessid.
AppArmor profiilid
AppArmoris on protsessid piiratud profiilidega. Ülaltoodud loend näitab meile süsteemi paigaldatud protokolle - need on Ubuntu'ga kaasas. Teisi profiile saab installida ka rakenduse apparmor-profile paketi installimisel. Mõned paketid - näiteks serveritarkvara - võivad olla varustatud oma AppArmori profiilidega, mis paigaldatakse süsteemi koos paketiga. Tarkvara piiramiseks saate luua ka oma AppArmori profiile.
Profiilid võivad töötada “kaebuse režiimis” või “jõustamisrežiimis”. Rakendusrežiimis - Ubuntu kaasas olevate profiilide vaikeseade - AppArmor takistab rakenduste piiratud toimingute tegemist. Kaebuse režiimis võimaldab AppArmor rakendustel võtta piiratud toiminguid ja loob selle kohta kaebuse. Kaebuse režiim sobib ideaalselt AppArmori profiili testimiseks enne selle jõustamise režiimis lubamist - näete vigu, mis esinevad jõustamisrežiimis.
Profiilid salvestatakse kataloogi /etc/apparmor.d. Need profiilid on lihttekstifailid, mis võivad sisaldada kommentaare.
AppArmori lubamine Firefoxi jaoks
Samuti võite märkida, et AppArmoril on Firefoxi profiil - see on usr.bin.firefox faili /etc/apparmor.d kataloog. See ei ole vaikimisi lubatud, kuna see võib Firefoxi liiga palju piirata ja põhjustada probleeme. The /etc/apparmor.d/disable kaust sisaldab linki sellele failile, mis näitab, et see on keelatud.
Firefoxi profiili lubamiseks ja Firefoxi piiramiseks rakendusega AppArmor käivitage järgmised käsud:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
kass /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser -a
Pärast nende käskude käivitamist käivitage sudo apparmor_status käsk uuesti ja näete, et Firefoxi profiilid on nüüd laaditud.
Firefoxi profiili keelamiseks, kui see põhjustab probleeme, käivitage järgmised käsud:
sudo ln-/etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Täpsemat teavet AppArmori kasutamise kohta leiate ametlikust Ubuntu serveri juhendist AppArmori kohta.
