Kas yra „AppArmor“ ir kaip jis saugo Ubuntu?
„AppArmor“ yra svarbi saugumo funkcija, kuri pagal nutylėjimą buvo įtraukta nuo „Ubuntu“ 7.10. Tačiau jis tyliai veikia fone, taigi jums gali būti nežinoma, kas tai yra ir ką ji daro.
„AppArmor“ užblokuoja pažeidžiamus procesus, apribodamas šių procesų pažeidžiamumą. „AppArmor“ taip pat gali būti naudojama užrakinti „Mozilla Firefox“, kad būtų užtikrintas didesnis saugumas, tačiau tai nėra numatyta pagal nutylėjimą.
Kas yra „AppArmor“?
„AppArmor“ yra panaši į „SELinux“, naudojamą pagal nutylėjimą „Fedora“ ir „Red Hat“. Nors jie dirba skirtingai, tiek „AppArmor“, tiek „SELinux“ užtikrina „privalomą prieigos kontrolę“ (MAC). Iš tikrųjų „AppArmor“ leidžia „Ubuntu“ kūrėjams apriboti veiksmų procesus.
Pavyzdžiui, viena „Ubuntu“ numatytąją konfigūraciją ribojanti programa yra „Evince“ PDF peržiūros programa. Nors „Evince“ gali būti naudojamas kaip jūsų vartotojo abonementas, jis gali imtis tik konkrečių veiksmų. „Evince“ turi tik minimalius leidimus, reikalingus PDF dokumentams paleisti ir dirbti. Jei „Evince“ PDF atvaizduotojoje aptiktas pažeidžiamumas ir atidarėte kenkėjišką PDF dokumentą, kuris perėmė „Evince“, „AppArmor“ apribotų Evince padarytą žalą. Tradiciniame „Linux“ saugumo modelyje „Evince“ turėtų prieigą prie visų prieigos prie. Naudodamiesi „AppArmor“, jis turi prieigą tik prie dalykų, kuriuos PDF žiūrovas turi turėti.
„AppArmor“ yra ypač naudinga ribojant programinę įrangą, kuri gali būti naudojama, pavyzdžiui, interneto naršyklė ar serverio programinė įranga.
„AppArmor“ būsenos peržiūra
Jei norite peržiūrėti „AppArmor“ būseną, paleiskite šią komandą terminale:
sudo apparmor_status
Pamatysite, ar „AppArmor“ veikia jūsų sistemoje (ji veikia pagal numatytuosius nustatymus), įdiegti „AppArmor“ profiliai ir vykdomi riboti procesai.
„AppArmor“ profiliai
„AppArmor“ procesai yra apriboti profiliais. Pirmiau pateiktame sąraše pateikiami sistemoje įdiegti protokolai - jie pateikiami su Ubuntu. Taip pat galite įdiegti kitus profilius įdiegdami „Apparmor-profile“ paketą. Pavyzdžiui, kai kurie paketai - serverio programinė įranga - gali turėti savo „AppArmor“ profilius, kurie įdiegti sistemoje kartu su paketu. Taip pat galite sukurti savo „AppArmor“ profilius, kad apribotumėte programinę įrangą.
Profiliai gali veikti „skundo režimu“ arba „vykdymo režimu“. Įgyvendinimo režimu - numatytasis profilių, kurie pateikiami naudojant „Ubuntu“, nustatymas - „AppArmor“ neleidžia programoms atlikti ribotų veiksmų. Skundo režimu „AppArmor“ leidžia programoms imtis ribotų veiksmų ir sukuria žurnalo įrašą, dėl kurio jis skundžiasi. Skundo režimas idealiai tinka „AppArmor“ profiliui išbandyti prieš jį įgalinant vykdymo režimu - pamatysite klaidas, kurios atsirastų vykdymo režime.
Profiliai saugomi kataloge /etc/apparmor.d. Šie profiliai yra paprasto teksto failai, kuriuose gali būti komentarų.
„AppArmor“ įgalinimas „Firefox“
Taip pat galite pastebėti, kad „AppArmor“ ateina su „Firefox“ profiliu usr.bin.firefox failą /etc/apparmor.d katalogą. Pagal numatytuosius nustatymus jis neįjungtas, nes jis gali per daug apriboti „Firefox“ ir sukelti problemų. The /etc/apparmor.d/disable aplanke yra nuoroda į šį failą, nurodant, kad jis išjungtas.
Jei norite įgalinti „Firefox“ profilį ir apriboti „Firefox“ su „AppArmor“, vykdykite šias komandas:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
katė /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser -a
Paleidus šias komandas, paleiskite sudo apparmor_status vėl pamatysite komandą ir pamatysite, kad „Firefox“ profiliai yra įkelti.
Jei norite išjungti „Firefox“ profilį, jei tai sukelia problemų, vykdykite šias komandas:
sudo ln-/etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Išsamesnės informacijos apie „AppArmor“ naudojimą ieškokite oficialiame „Ubuntu Server Guide“ puslapyje „AppArmor“.
