Što je AppArmor i kako ga održava sigurnim?
AppArmor je važna sigurnosna značajka koja je prema zadanim postavkama uključena u Ubuntu od Ubuntu 7.10. Međutim, u pozadini radi tiho, tako da možda niste svjesni što je to i što radi.
AppArmor zaključava ranjive procese, ograničavajući štetne sigurnosne propuste u tim procesima. AppArmor se također može koristiti za zaključavanje Mozilla Firefoxa radi povećane sigurnosti, ali to ne radi po defaultu.
Što je AppArmor?
AppArmor je sličan SELinux-u koji se prema zadanim postavkama koristi u Fedori i Red Hatu. Dok rade drugačije, i AppArmor i SELinux osiguravaju "obveznu kontrolu pristupa" (MAC) sigurnost. U stvari, AppArmor omogućuje programerima Ubuntua da ograniče procese koje akcije mogu poduzeti.
Primjerice, jedna aplikacija koja je ograničena u zadanoj konfiguraciji Ubuntua je Evince PDF preglednik. Dok se Evince može pokrenuti kao vaš korisnički račun, može poduzimati samo određene radnje. Evince ima samo minimum dozvola potrebnih za pokretanje i rad s PDF dokumentima. Ako je ranjivost otkrivena u Evinceovom PDF rendereru i kada ste otvorili zlonamjerni PDF dokument koji je preuzeo Evince, AppArmor bi ograničio štetu koju bi Evince mogao učiniti. U tradicionalnom Linux sigurnosnom modelu, Evince bi imao pristup svemu što imate pristup. Pomoću aplikacije AppArmor ima pristup samo stvarima kojima je potreban pristup pregledniku PDF-a.
AppArmor je osobito koristan za ograničavanje softvera koji se može iskoristiti, kao što je web-preglednik ili poslužiteljski softver.
Pregled statusa aplikacije
Da biste vidjeli status aplikacije AppArmor, pokrenite sljedeću naredbu u terminalu:
sudo apparmor_status
Vidjet ćete da li se AppArmor izvodi na vašem sustavu (radi se prema zadanim postavkama), AppArmor profili koji su instalirani i ograničeni procesi koji se izvode.
Profili AppArmora
U AppArmoru su procesi ograničeni profilima. Gornji popis nam pokazuje protokole koji su instalirani na sustavu - ovi dolaze s Ubuntuom. Možete instalirati i druge profile instaliranjem paketa apparmor-profiles. Neki paketi - poslužiteljski softver, na primjer - mogu imati svoje vlastite profile AppArmor koji su instalirani na sustavu zajedno s paketom. Također možete stvoriti vlastite profile AppArmor za ograničavanje softvera.
Profili se mogu izvoditi u načinu rada "Žalba" ili "Način primjene". U načinu primjene - zadana postavka za profile koji dolaze s Ubuntu - AppArmor sprječava aplikacije da poduzimaju ograničene radnje. U načinu rada žalbe, AppArmor omogućuje aplikacijama poduzimanje ograničenih radnji i kreiranje unosa u dnevnik koji se žali na to. Režim žalbe idealan je za testiranje AppArmor profila prije nego ga omogućite u načinu rada prisilnog rada - vidjet ćete sve pogreške koje bi se pojavile u načinu rada za provođenje.
Profili su pohranjeni u direktoriju /etc/apparmor.d. Ti profili su datoteke s običnim tekstom koje mogu sadržavati komentare.
Omogućavanje AppArmor za Firefox
Također možete primijetiti da AppArmor dolazi s Firefox profilom - to je usr.bin.firefox u datoteci /etc/apparmor.d imenik. Prema zadanim postavkama nije omogućeno jer može previše ograničiti Firefox i uzrokovati probleme. /etc/apparmor.d/disable mapa sadrži vezu na tu datoteku, što znači da je onemogućena.
Da biste omogućili Firefox profil i ograničili Firefox s AppArmor, pokrenite sljedeće naredbe:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser -a
Nakon što pokrenete ove naredbe, pokrenite sudo apparmor_status naredbu i vidjet ćete da su Firefox profili sada učitani.
Da biste onemogućili profil Firefox ako uzrokuje probleme, pokrenite sljedeće naredbe:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Za detaljnije informacije o korištenju AppArmora, pogledajte službenu stranicu Ubuntu Server Guide na AppArmor.