AppArmor jest ważną funkcją bezpieczeństwa, która jest domyślnie dołączana do Ubuntu od wersji Ubuntu 7.10. Jednak działa w tle, więc możesz nie wiedzieć, co to jest i co robi.
AppArmor blokuje wrażliwe procesy, ograniczając szkody, które mogą powodować luki w zabezpieczeniach w tych procesach. AppArmor może również służyć do blokowania Mozilla Firefox w celu zwiększenia bezpieczeństwa, ale nie robi tego domyślnie.
AppArmor jest podobny do SELinux, używanego domyślnie w Fedorze i Red Hacie. Chociaż działają one inaczej, zarówno AppArmor, jak i SELinux zapewniają bezpieczeństwo "obowiązkowej kontroli dostępu" (MAC). W efekcie AppArmor pozwala programistom Ubuntu ograniczyć działanie procesów.
Na przykład jedną aplikacją, która jest ograniczona domyślną konfiguracją Ubuntu, jest przeglądarka plików Evince PDF. Podczas gdy Evince może działać jako twoje konto użytkownika, może podejmować tylko określone działania. Evince ma tylko minimum uprawnień wymaganych do uruchamiania i pracy z dokumentami PDF. Jeśli wykryto lukę w rendererze PDF Evince i otworzyłeś złośliwy dokument PDF, który przejął Evince, AppArmor ograniczyłby szkody, które może spowodować Evince. W tradycyjnym modelu bezpieczeństwa Linux, Evince miałby dostęp do wszystkiego, do czego masz dostęp. Aplikacja AppArmor ma dostęp tylko do rzeczy, do których przeglądarka plików PDF potrzebuje dostępu.
AppArmor jest szczególnie przydatny do ograniczania oprogramowania, które może być wykorzystane, takiego jak przeglądarka internetowa lub oprogramowanie serwera.
Aby wyświetlić status AppArmor, uruchom następujące polecenie w terminalu:
sudo apparmor_status
Zobaczysz, czy AppArmor działa w Twoim systemie (jest on domyślnie uruchomiony), zainstalowane profile AppArmor i uruchomione ograniczone procesy.
W AppArmor procesy są ograniczone profilami. Powyższa lista pokazuje nam protokoły zainstalowane w systemie - te z Ubuntu. Możesz również zainstalować inne profile, instalując pakiet apparmor-profiles. Niektóre pakiety - na przykład oprogramowanie serwerowe - mogą mieć własne profile AppArmor, które są instalowane w systemie wraz z pakietem. Możesz również utworzyć własne profile AppArmor, aby ograniczyć oprogramowanie.
Profile mogą być uruchamiane w trybie "narzekania" lub "trybie egzekwowania". W trybie wymuszenia - domyślne ustawienie profili dołączonych do Ubuntu - AppArmor uniemożliwia aplikacjom podejmowanie ograniczonych działań. W trybie reklamowania aplikacja AppArmor umożliwia aplikacjom podejmowanie ograniczonych działań i tworzy wpis w dzienniku na ten temat. Tryb składania skarg jest idealny do testowania profilu AppArmor przed włączeniem go w trybie egzekwowania - zobaczysz wszelkie błędy, które wystąpią w trybie egzekwowania.
Profile są przechowywane w katalogu /etc/apparmor.d. Te profile są zwykłymi plikami tekstowymi, które mogą zawierać komentarze.
Możesz również zauważyć, że AppArmor ma profil Firefox - to jest usr.bin.firefox plik w /etc/apparmor.d informator. Nie jest włączone domyślnie, ponieważ może zbytnio ograniczyć działanie Firefoksa i powodować problemy. The /etc/apparmor.d/disable folder zawiera link do tego pliku, wskazujący, że jest wyłączony.
Aby włączyć profil Firefox i zamknąć Firefox za pomocą AppArmor, uruchom następujące polecenia:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser -a
Po uruchomieniu tych komend uruchom polecenie sudo apparmor_status ponownie polecenie, a zobaczysz, że profile Firefox są teraz załadowane.
Aby wyłączyć profil Firefoksa, jeśli powoduje on problemy, uruchom następujące polecenia:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Więcej szczegółowych informacji na temat korzystania z AppArmor można znaleźć na oficjalnej stronie Przewodnik po Ubuntu na AppArmor.
