Čo je AppArmor a ako udržiava Ubuntu bezpečnú?
AppArmor je dôležitá bezpečnostná funkcia, ktorá bola štandardne zahrnutá do Ubuntu od Ubuntu 7.10. Avšak, beží ticho v pozadí, takže si možno nebudete vedomý, čo to je a čo robí.
AppArmor zablokuje zraniteľné procesy, čo môže spôsobiť poškodenie bezpečnostných zranení v týchto procesoch. AppArmor môže byť tiež použitý na uzamknutie Mozilly Firefoxu pre zvýšenú bezpečnosť, ale nestáva sa to predvolene.
Čo je AppArmor?
AppArmor je podobný SELinuxu, ktorý sa štandardne používa vo Fedore a Red Hat. Zatiaľ čo fungujú inak, AppArmor aj SELinux zabezpečujú bezpečnosť "povinného riadenia prístupu" (MAC). V skutočnosti AppArmor umožňuje vývojárom Ubuntu obmedziť akcie, ktoré môžu procesy vykonať.
Napríklad jedna aplikácia, ktorá je obmedzená vo východiskovej konfigurácii Ubuntu, je prehliadač Evince PDF. Zatiaľ čo služba Evince môže fungovať ako používateľské konto, môže vykonať iba určité kroky. Evince má len minimálne povolenie potrebné na spustenie a prácu s dokumentmi vo formáte PDF. Ak bola zistená zraniteľnosť v aplikácii Evince na vykresľovanie PDF a otvorili ste škodlivý dokument PDF, ktorý prevzal Evince, AppArmor by obmedzil škody, ktoré by mohla Evince urobiť. V tradičnom systéme zabezpečenia Linuxu bude mať Evince prístup ku všetkému, ku ktorému máte prístup. Aplikácia AppArmor má prístup iba k veciam, ktoré si prehliadač PDF potrebuje.
AppArmor je obzvlášť užitočný na obmedzenie softvéru, ktorý môže byť využitý, napríklad webový prehliadač alebo serverový softvér.
Zobrazenie stavu aplikácie AppArmor
Ak chcete zobraziť stav aplikácie AppArmor, spustite nasledujúci príkaz v termináli:
sudo apparmor_status
Uvidíte, či je AppArmor spustený vo vašom systéme (je štandardne spustený), nainštalované profily AppArmor a obmedzené procesy, ktoré sú spustené.
AppArmor Profiles
V programe AppArmor sú procesy obmedzené profilmi. Vyššie uvedený zoznam nám uvádza protokoly, ktoré sú nainštalované v systéme - tieto sú dodávané s Ubuntu. Môžete tiež nainštalovať ďalšie profily inštaláciou balíka apparmor-profiles. Niektoré balíky - napríklad serverový softvér - môžu obsahovať vlastné profily AppArmor, ktoré sú nainštalované v systéme spolu s balíkom. Môžete tiež vytvoriť svoje vlastné profily AppArmor na obmedzenie softvéru.
Profily môžu bežať v režime sťažnosti alebo v režime presadzovania. V režime vymáhania - predvolené nastavenie pre profily, ktoré prichádzajú s Ubuntu - AppArmor zabraňuje aplikáciám prijímať obmedzené akcie. V režime sťažnosti aplikácia AppArmor umožňuje aplikáciám vykonávať obmedzené akcie a vytvára záznam ohlásený sťažnosťou. Režim Complain je ideálny pre testovanie profilu AppArmor pred jeho aktiváciou v režime vymáhania - uvidíte akékoľvek chyby, ktoré by nastali v režime vymáhania.
Profily sa ukladajú do adresára /etc/apparmor.d. Tieto profily sú súbory obyčajného textu, ktoré môžu obsahovať komentáre.
Povolenie AppArmor pre Firefox
Môžete si tiež všimnúť, že AppArmor je dodávaný s profilom Firefox - je to usr.bin.firefox súbor v priečinku /etc/apparmor.d adresár. V predvolenom nastavení nie je povolený, pretože môže príliš obmedziť Firefox a spôsobiť problémy. /etc/apparmor.d/disable priečinok obsahuje odkaz na tento súbor, čo znamená, že je zakázané.
Ak chcete povoliť profil Firefoxu a obmedziť Firefox s aplikáciou AppArmor, spustite nasledujúce príkazy:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
mačka /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser -a
Po spustení týchto príkazov spustite sudo apparmor_status príkaz znova a uvidíte, že sú načítané profily Firefoxu.
Ak chcete vypnúť profil Firefoxu, ak spôsobuje problémy, spustite nasledujúce príkazy:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Podrobnejšie informácie o používaní aplikácie AppArmor nájdete na oficiálnej stránke Ubuntu Server Guide v aplikácii AppArmor.
