Pagina principala » HOWTO » Ce este AppArmor și cum păstrează Ubuntu Secure?

    Ce este AppArmor și cum păstrează Ubuntu Secure?

    AppArmor este o caracteristică importantă de securitate care a fost inclusă implicit cu Ubuntu de la Ubuntu 7.10. Cu toate acestea, rulează în tăcere în fundal, deci este posibil să nu fiți conștienți de ce este și de ceea ce face.

    AppArmor blochează procesele vulnerabile, restrângând vulnerabilitățile de securitate cauzate de aceste procese. AppArmor poate fi, de asemenea, utilizat pentru a bloca Mozilla Firefox pentru o securitate sporită, dar nu face acest lucru în mod implicit.

    Ce este AppArmor?

    AppArmor este similar cu SELinux, utilizat în mod implicit în Fedora și Red Hat. În timp ce funcționează diferit, atât AppArmor, cât și SELinux oferă securitate de "control acces obligatoriu" (MAC). De fapt, AppArmor permite dezvoltatorilor Ubuntu să restricționeze acțiunile pe care le pot lua procesele.

    De exemplu, o aplicație care este restricționată în configurația implicită a Ubuntu este vizualizatorul Evince PDF. În timp ce Evince poate să ruleze ca cont de utilizator, poate lua măsuri specifice. Evince are minimum de permisiuni necesare pentru a rula și a lucra cu documente PDF. Dacă o vulnerabilitate a fost descoperită în documentul de redare a lui Evince și ați deschis un document PDF rău intenționat care a preluat Evince, AppArmor ar restrânge daunele pe care le-ar putea face Evince. În modelul tradițional de securitate Linux, Evince ar avea acces la tot ceea ce aveți acces. Cu AppArmor, are acces doar la lucrurile la care un utilizator de vizualizare PDF are nevoie.

    AppArmor este utilă în special pentru restricționarea software-ului care poate fi exploatat, cum ar fi un browser web sau un software de tip server.

    Vizualizarea statutului AppArmor

    Pentru a vedea starea AppArmor, executați următoarea comandă într-un terminal:

    sudo apparmor_status

    Veți vedea dacă AppArmor rulează pe sistemul dvs. (funcționează implicit), profilurile AppArmor instalate și procesele limitate care se execută.

    AppArmor Profiles

    În AppArmor, procesele sunt restricționate prin profiluri. Lista de mai sus ne arată protocoalele instalate pe sistem - acestea se găsesc împreună cu Ubuntu. De asemenea, puteți instala alte profiluri instalând pachetul apparmor-profiles. Unele pachete - software de tip server, de exemplu - pot veni cu propriile profile AppArmor instalate pe sistem împreună cu pachetul. De asemenea, puteți crea propriile profiluri AppArmor pentru a restricționa software-ul.

    Profilurile pot rula în modul "plângere" sau "modul de aplicare". În modul de aplicare - setarea implicită pentru profilurile care apar cu Ubuntu - AppArmor împiedică aplicațiile să întreprindă acțiuni restricționate. În modul de reclamație, AppArmor permite aplicațiilor să ia acțiuni restricționate și creează o intrare în jurnal care se plânge de acest lucru. Modul de complotare este ideal pentru testarea unui profil AppArmor înainte de al activa în modul de aplicare - veți observa eventualele erori care ar apărea în modul de aplicare.

    Profilurile sunt stocate în directorul /etc/apparmor.d. Aceste profiluri sunt fișiere text simplu care pot conține comentarii.

    Activarea AppArmor pentru Firefox

    De asemenea, ați putea observa că AppArmor vine cu un profil Firefox - este vorba de usr.bin.firefox fișier în /etc/apparmor.d director. Nu este activat în mod implicit, deoarece ar putea restricționa prea mult Firefox-ul și ar cauza probleme. /etc/apparmor.d/disable folder conține un link către acest fișier, indicând faptul că este dezactivat.

    Pentru a activa profilul Firefox și a restrânge Firefox cu AppArmor, executați următoarele comenzi:

    sudo rm /etc/apparmor.d/disable/usr.bin.firefox

    pisica /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser -a

    După ce executați aceste comenzi, executați comanda sudo apparmor_status comanda din nou și veți vedea că profilurile Firefox sunt acum încărcate.

    Pentru a dezactiva profilul Firefox dacă provoacă probleme, executați următoarele comenzi:

    sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/

    sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox


    Pentru mai multe informații detaliate despre utilizarea AppArmor, consultați pagina oficială a Ghidului Serverului Ubuntu pe AppArmor.