loader

Що таке AppArmor, і як це зберігає Ubuntu Secure?

Anonim

AppArmor є важливою функцією безпеки, яка була включена за замовчуванням у Ubuntu після Ubuntu 7.10. Тим не менш, він працює тихо у фоновому режимі, так що ви можете не знати, що це таке і що він робить.

AppArmor блокує уразливі процеси, обмежуючи ушкодження безпеки, які можуть викликати ці процеси. AppArmor також може бути використаний для блокування Mozilla Firefox для підвищення безпеки, але він не робить цього за замовчуванням.

Що таке AppArmor?

AppArmor схожий на SELinux, який використовується за замовчуванням у Fedora та Red Hat. Хоча вони працюють по-різному, і AppArmor, і SELinux забезпечують безпеку «обов'язкового контролю доступу» (MAC). Фактично AppArmor дозволяє розробникам Ubuntu обмежувати дії, які можуть виконувати процеси.

Наприклад, одна програма, яка обмежена в стандартній конфігурації Ubuntu, є засобом перегляду PDF у Evince. Хоча Evince може працювати як ваш обліковий запис користувача, він може вживати лише певні дії. Evince має лише мінімум дозволів, необхідних для запуску та роботи з документами PDF. Якщо в утиліті Evince було виявлено уразливість, і ви відкрили шкідливий PDF-документ, який взяв на себе Evince, AppArmor обмежує збитки, які Evince може зробити. У традиційній моделі безпеки Linux, Evince матиме доступ до всього, до чого ви маєте доступ. За допомогою AppArmor він має доступ лише до речей, до яких потрібний доступ до засобу перегляду PDF.

AppArmor особливо корисний для обмеження програмного забезпечення, яке може бути використано, наприклад, веб-браузера або серверного програмного забезпечення.

Перегляд статусу AppArmor

Щоб переглянути стан AppArmor, запустіть у терміналі таку команду:

sudo apparmor_status

Ви побачите, чи запущено AppArmor у вашій системі (він працює за замовчуванням), встановлені профілі AppArmor, а також запущені обмежені процеси.

Профілі AppArmor

У AppArmor процеси обмежені профілями. Наведений вище список показує протоколи, які встановлені в системі - ці входять до складу Ubuntu. Можна також встановити інші профілі, встановивши пакет apparmor-profiles. Деякі пакети - серверне програмне забезпечення, наприклад - можуть поставлятися з власними профілями AppArmor, які встановлюються в системі разом з пакетом. Ви також можете створювати власні профілі AppArmor для обмеження програмного забезпечення.

Профілі можуть працювати в режимі «скарги» або «примусовому режимі». У режимі примусового налаштування - типові налаштування для профілів, які постачаються разом з Ubuntu - AppArmor, запобігають застосуванню обмежених дій. У режимі скарги AppArmor дозволяє програмам приймати обмежені дії та створює запис журналу, що скаржиться на це. Режим скарги ідеально підходить для тестування профілю AppArmor, перш ніж увімкнути його в режимі примусового втручання - ви побачите помилки, які можуть виникнути в режимі примусового виконання.

Профілі зберігаються в каталозі /etc/apparmor.d. Ці профілі - це текстові файли, які можуть містити коментарі.

Увімкнення AppArmor для Firefox

Ви також можете помітити, що AppArmor поставляється з профілем Firefox - це файл usr.bin.firefox у каталозі /etc/apparmor.d . За промовчанням вона не ввімкнена, оскільки вона може занадто обмежувати Firefox і викликати проблеми. Папка /etc/apparmor.d/disable містить посилання на цей файл, що вказує на те, що його вимкнено.

Щоб увімкнути профіль Firefox і обмежити Firefox за допомогою AppArmor, виконайте такі команди:

sudo rm /etc/apparmor.d/disable/usr.bin.firefox

cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a

Після запуску цих команд запустіть команду sudo apparmor_status ще раз, і ви побачите, що зараз завантажені профілі Firefox.

Щоб вимкнути профіль Firefox, якщо він викликає проблеми, виконайте такі команди:

sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/

sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox


Для отримання більш детальної інформації про використання AppArmor зверніться до офіційної сторінки Керівництва Ubuntu Server на AppArmor.

Вибір Редакції