Vad är AppArmor, och hur håller det Ubuntu Secure?
AppArmor är en viktig säkerhetsfunktion som har inkluderats som standard med Ubuntu sedan Ubuntu 7.10. Det går dock tyst i bakgrunden, så du kanske inte är medveten om vad det är och vad det gör.
AppArmor låser ner sårbara processer, vilket begränsar skadans säkerhetsproblem i dessa processer kan orsaka. AppArmor kan också användas för att låsa ner Mozilla Firefox för ökad säkerhet, men det gör det inte som standard.
Vad är AppArmor?
AppArmor liknar SELinux, som vanligtvis används i Fedora och Red Hat. Medan de fungerar annorlunda, tillhandahåller både AppArmor och SELinux "MAC-säkerhet" (obligatorisk åtkomstkontroll). I själva verket tillåter AppArmor Ubuntus utvecklare att begränsa de åtgärder processer kan ta.
Till exempel är en applikation som är begränsad i Ubuntus standardkonfiguration Evince PDF-tittaren. Medan Evince kan köras som ditt användarkonto, kan det bara ta specifika åtgärder. Evince har bara det minsta tillåtna tillståndet för att köra och arbeta med PDF-dokument. Om en sårbarhet upptäcktes i Evinces PDF renderer och du öppnade ett skadligt PDF-dokument som tog över Evince, skulle AppArmor begränsa den skada Evince kunde göra. I den traditionella Linux-säkerhetsmodellen skulle Evince få tillgång till allt du har tillgång till. Med AppArmor har den bara tillgång till saker som en PDF-tittare behöver tillgång till.
AppArmor är särskilt användbart för att begränsa programvara som kan utnyttjas, till exempel en webbläsare eller serverns programvara.
Visa AppArmors status
För att visa AppArmors status, kör följande kommando i en terminal:
sudo apparmor_status
Du ser om AppArmor körs på ditt system (det körs som standard), AppArmor-profilerna som installeras och de begränsade processerna som körs.
AppArmor-profiler
I AppArmor begränsas processer av profiler. Listan ovan visar oss de protokoll som är installerade på systemet - dessa kommer med Ubuntu. Du kan också installera andra profiler genom att installera apparmorprofilpaketet. Vissa paket - till exempel serverns programvara - kan komma med egna AppArmor-profiler som är installerade på systemet tillsammans med paketet. Du kan också skapa egna AppArmor-profiler för att begränsa programvaran.
Profiler kan köras i "klagläge" eller "verkställande läge". I hanteringsläge - standardinställningen för de profiler som följer med Ubuntu - AppArmor förhindrar att program tar begränsade åtgärder. I klagläget tillåter AppArmor att applikationer tar begränsade åtgärder och skapar en loggpost som klagar över detta. Klagläget är idealiskt för att testa en AppArmor-profil innan den aktiveras i hanteringsläge - du får se några fel som skulle uppstå i hanteringsläge.
Profiler lagras i katalogen /etc/apparmor.d. Dessa profiler är enkla textfiler som kan innehålla kommentarer.
Aktivera AppArmor för Firefox
Du kanske också märker att AppArmor kommer med en Firefox-profil - det är det usr.bin.firefox fil i /etc/apparmor.d katalogen. Det är inte aktiverat som standard, eftersom det kan begränsa Firefox för mycket och orsaka problem. De /etc/apparmor.d/disable mappen innehåller en länk till den här filen, vilket indikerar att den är inaktiverad.
För att aktivera Firefox-profilen och begränsa Firefox med AppArmor, kör följande kommandon:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
katt /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser -a
När du har kört dessa kommandon kör du sudo apparmor_status kommandot igen och du ser att Firefox-profilerna nu laddas.
Om du vill inaktivera Firefox-profilen om det orsakar problem, kör följande kommandon:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
För mer detaljerad information om hur du använder AppArmor, se den officiella Ubuntu Serverguidens sida på AppArmor.