AppArmor lukustab haavatavaid protsesse, mis võivad kahjustada turvahaavatavusi nendes protsessides. AppArmorit saab kasutada ka Mozilla Firefoxi turvalisuse suurendamiseks, kuid see ei tee seda vaikimisi.
Mis on AppArmor?
AppArmor sarnaneb SELinuxiga, mida kasutatakse vaikimisi Fedora ja Red Hat. Ehkki nad töötavad erinevalt, pakuvad nii AppArmor kui SELinux "kohustuslikku juurdepääsu kontrolli" (MAC) turvalisust. Tegelikult võimaldab AppArmor Ubuntu arendajatel piirata toiminguid, mida protsessid võivad võtta.
Näiteks on üks rakendus, mille Ubuntu vaikeseade on piiratud, Evince PDF-i vaataja. Ehkki Evince võib olla teie kasutajakontoks, võib see võtta ainult konkreetseid toiminguid. Evince'il on ainult PDF-dokumentidega töötamiseks ja töötamiseks vaja minimaalseid õigusi. Kui Evince PDF-i renderdajas tuvastati haavatavus ja avasite Evincei üle võtnud pahatahtliku PDF-dokumendi, piiraks AppArmor kahju, mida Evince võiks teha. Traditsioonilisel Linuxi turvamudelil on Evinceil juurdepääs kõigele, kellel on juurdepääs. Rakendusega AppArmor on juurdepääs ainult sellistele asjadele, mida PDF-vaataja vajab.
AppArmor on eriti kasulik tarkvara, mida võib ära kasutada, näiteks veebibrauseri või serveritarkvara piiramiseks.
AppArmori oleku vaatamine
AppArmori oleku vaatamiseks käivitage terminalis järgmine käsk:
sudo apparmor_status
Näete, kas AppArmor töötab teie süsteemis (see töötab vaikimisi), installitud AppArmori profiilid ja töötavad piiratud protsessid.
AppArmori profiilid
Rakenduses AppArmor on protsesse piiratud profiilidega. Eespool toodud nimekiri näitab meile süsteemis installitud protokolle - need on kaasas Ubuntuga. Te saate ka teisi profiile paigaldada, paigaldades seadme aplikatsiooniprofiilide paketi. Näiteks mõnel pakendil - nt serveritarkvaral - võivad olla oma AppArmori profiilid, mis on süsteemiga koos komplektiga installitud. Tarkvara piiramiseks saate luua oma AppArmori profiile.
Profiilid võivad töötada "kaebamise režiimis" või "jõustamise režiimis." Täitmisrežiimis - Ubuntuga kaasnevate profiilide vaikeseade - AppArmor takistab rakendustel piiratud toiminguid. Kaebuse režiimis lubab AppArmor rakendustel piiratud toiminguid ja loob logifaili, milles selle kohta kaebavad. Kaebusrežiim sobib ideaalselt AppArmori profiili testimiseks, enne kui see lubab jõustamise režiimis - näete tõrgeteta režiimis ilmseid vigu.
Profiilid salvestatakse kataloogis /etc/apparmor.d. Need profiilid on tavalised tekstifailid, mis võivad sisaldada kommentaare.
AppArmor lubamine Firefoxi jaoks
Võite ka märkida, et AppArmor'il on Firefoxi profiil - see on usr.bin.firefox failis /etc/apparmor.d kataloog. See pole vaikimisi lubatud, kuna see võib Firefoxi liiga piirata ja põhjustada probleeme. The /etc/apparmor.d/disable kaust sisaldab linki sellele failile, mis näitab, et see on keelatud.
Firefoxi profiili lubamiseks ja Firefoxi piiramiseks rakendusega AppArmor käitage järgmisi käsklusi:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
Pärast nende käskude käivitamist käivitage sudo apparmor_status käsk uuesti ja näete, et Firefoxi profiilid on nüüd laaditud.
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
AppArmori kasutamise kohta lisateabe saamiseks külastage AppArmori ametlikku Ubuntu serveri juhendi lehte.