Що таке AppArmor, і як це зберігає Ubuntu Secure?
AppArmor є важливою функцією безпеки, яка була включена за замовчуванням у Ubuntu після Ubuntu 7.10. Тим не менш, він працює тихо у фоновому режимі, так що ви можете не знати, що це таке і що він робить.
AppArmor блокує уразливі процеси, обмежуючи ушкодження безпеки, які можуть викликати ці процеси. AppArmor також може бути використаний для блокування Mozilla Firefox для підвищення безпеки, але він не робить цього за замовчуванням.
Що таке AppArmor?
AppArmor схожий на SELinux, який використовується за замовчуванням у Fedora та Red Hat. Хоча вони працюють по-різному, і AppArmor, і SELinux забезпечують безпеку «обов'язкового контролю доступу» (MAC). Фактично AppArmor дозволяє розробникам Ubuntu обмежувати дії, які можуть виконувати процеси.
Наприклад, одна програма, яка обмежена в стандартній конфігурації Ubuntu, є засобом перегляду PDF у Evince. Хоча Evince може працювати як ваш обліковий запис користувача, він може вживати лише певні дії. Evince має лише мінімум дозволів, необхідних для запуску та роботи з документами PDF. Якщо в утиліті Evince було виявлено уразливість, і ви відкрили шкідливий PDF-документ, який взяв на себе Evince, AppArmor обмежує збитки, які Evince може зробити. У традиційній моделі безпеки Linux, Evince матиме доступ до всього, до чого ви маєте доступ. За допомогою AppArmor він має доступ лише до речей, до яких потрібний доступ до засобу перегляду PDF.
AppArmor особливо корисний для обмеження програмного забезпечення, яке може бути використано, наприклад, веб-браузера або серверного програмного забезпечення.
Перегляд статусу AppArmor
Щоб переглянути стан AppArmor, запустіть у терміналі таку команду:
sudo apparmor_status
Ви побачите, чи запущено AppArmor у вашій системі (він працює за замовчуванням), встановлені профілі AppArmor і обмежені процеси, які виконуються.
Профілі AppArmor
У AppArmor процеси обмежені профілями. Наведений вище список показує протоколи, які встановлені в системі - ці входять до складу Ubuntu. Можна також встановити інші профілі, встановивши пакет apparmor-profiles. Деякі пакети - серверне програмне забезпечення, наприклад - можуть поставлятися з власними профілями AppArmor, які встановлюються в системі разом з пакетом. Ви також можете створювати власні профілі AppArmor для обмеження програмного забезпечення.
Профілі можуть працювати в режимі «скарги» або «примусовому режимі». У режимі примусового налаштування - типові налаштування для профілів, які постачаються з Ubuntu - AppArmor, запобігають застосуванню обмежених дій. У режимі скарги AppArmor дозволяє програмам приймати обмежені дії та створює запис журналу, що скаржиться на це. Режим скарги ідеально підходить для тестування профілю AppArmor, перш ніж увімкнути його в режимі примусового втручання - ви побачите будь-які помилки, які можуть виникнути в режимі примусу.
Профілі зберігаються в каталозі /etc/apparmor.d. Ці профілі - це текстові файли, які можуть містити коментарі.
Увімкнення AppArmor для Firefox
Ви також можете помітити, що AppArmor поставляється з профілем Firefox - це usr.bin.firefox у файлі /etc/apparmor.d каталог. За промовчанням вона не ввімкнена, оскільки вона може занадто обмежувати Firefox і викликати проблеми. The /etc/apparmor.d/disable папка містить посилання на цей файл, що вказує, що його вимкнено.
Щоб увімкнути профіль Firefox і обмежити Firefox за допомогою AppArmor, виконайте такі команди:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser -a
Після запуску цих команд запустіть sudo apparmor_status знову ви побачите, що зараз завантажені профілі Firefox.
Щоб вимкнути профіль Firefox, якщо він викликає проблеми, виконайте такі команди:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Для отримання більш детальної інформації про використання AppArmor зверніться до офіційної сторінки Керівництва Ubuntu Server на AppArmor.