Aplikácia AppArmor zablokuje zraniteľné procesy a môže obmedziť poškodenie zabezpečenia v týchto procesoch. Aplikácia AppArmor môže byť tiež použitá na uzamknutie Mozilly Firefoxu pre zvýšenú bezpečnosť, ale nestáva sa to predvolene.
Čo je AppArmor?
AppArmor je podobne ako SELinux, ktorý sa predvolene používa vo Fedore a Red Hat. Zatiaľ čo fungujú inak, AppArmor aj SELinux poskytujú bezpečnosť "povinného riadenia prístupu" (MAC). V skutočnosti AppArmor umožňuje vývojárom Ubuntu obmedziť akcie, ktoré môžu procesy prijať.
Napríklad jedna aplikácia, ktorá je obmedzená vo východiskovej konfigurácii Ubuntu, je prehliadač Evince PDF. Zatiaľ čo služba Evince môže byť spustená ako používateľské konto, môže vykonať iba určité kroky. Evince má len minimálne povolenie potrebné na spustenie a prácu s dokumentmi vo formáte PDF. Ak bola zistená zraniteľnosť v aplikácii Evince na vykresľovanie PDF a otvorili ste škodlivý dokument PDF, ktorý prevzal spoločnosť Evince, AppArmor by obmedzil škody, ktoré mohla spoločnosť Evince urobiť. V tradičnom systéme zabezpečenia Linuxu bude mať Evince prístup ku všetkému, ku ktorému máte prístup. Aplikácia AppArmor má prístup len k potrebám, ku ktorým potrebuje prístup prehliadač PDF.
AppArmor je obzvlášť užitočný na obmedzenie softvéru, ktorý môže byť použitý, napríklad webový prehliadač alebo serverový softvér.
Zobrazenie stavu aplikácie AppArmor
Ak chcete zobraziť stav aplikácie AppArmor, spustite nasledujúci príkaz v termináli:
sudo apparmor_status
Uvidíte, či je AppArmor spustený vo vašom systéme (štandardne beží), nainštalované profily AppArmor a spustené obmedzené procesy.
AppArmor Profiles
V programe AppArmor sú procesy obmedzené profilmi. Vyššie uvedený zoznam zobrazuje protokoly, ktoré sú nainštalované v systéme - tieto sú dodávané s Ubuntu. Môžete tiež nainštalovať ďalšie profily inštaláciou balíka apparmor-profiles. Niektoré balíky - napríklad serverový softvér - môžu obsahovať vlastné profily AppArmor, ktoré sú nainštalované v systéme spolu s balíkom. Môžete tiež vytvoriť svoje vlastné profily AppArmor na obmedzenie softvéru.
Profily môžu bežať v režime sťažnosti alebo v režime vymáhania. V režime vynútenia - predvolené nastavenie pre profily, ktoré prichádzajú s Ubuntu - AppArmor zabraňuje aplikáciám prijímať obmedzené akcie. V režime sťažnosti aplikácia AppArmor umožňuje aplikáciám vykonávať obmedzené akcie a vytvára záznam ohlásený sťažnosťou. Režim Complain je ideálny na testovanie profilu AppArmor pred jeho aktiváciou v režime vymáhania - uvidíte akékoľvek chyby, ktoré by sa vyskytli v režime vymáhania.
Profily sa ukladajú do adresára /etc/apparmor.d. Tieto profily sú textové súbory, ktoré môžu obsahovať komentáre.
Povolenie AppArmor pre Firefox
Môžete si tiež všimnúť, že AppArmor je dodávaný s profilom Firefox - je to usr.bin.firefox súbor v priečinku /etc/apparmor.d adresár. V predvolenom nastavení nie je povolené, pretože môže príliš obmedziť Firefox a spôsobiť problémy. /etc/apparmor.d/disable priečinok obsahuje odkaz na tento súbor, čo znamená, že je zakázané.
Ak chcete povoliť profil Firefoxu a obmedziť Firefox s aplikáciou AppArmor, spustite nasledovné príkazy:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
Po spustení týchto príkazov spustite sudo apparmor_status príkaz znovu a zistíte, že sú načítané profily Firefoxu.
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Podrobnejšie informácie o používaní aplikácie AppArmor nájdete na oficiálnej stránke aplikácie Sprievodca Ubuntu na adrese AppArmor.
