Что такое AppArmor и как он защищает Ubuntu?
AppArmor - важная функция безопасности, которая по умолчанию включена в Ubuntu начиная с Ubuntu 7.10. Тем не менее, он работает в фоновом режиме, поэтому вы можете не знать, что это такое и что он делает.
AppArmor блокирует уязвимые процессы, ограничивая ущерб, который могут нанести уязвимости безопасности в этих процессах. AppArmor также можно использовать для блокировки Mozilla Firefox для повышения безопасности, но по умолчанию этого не происходит.
Что такое AppArmor?
AppArmor похож на SELinux, по умолчанию используется в Fedora и Red Hat. Хотя AppArmor и SELinux работают по-разному, они обеспечивают безопасность «обязательного контроля доступа» (MAC). По сути, AppArmor позволяет разработчикам Ubuntu ограничивать действия, которые могут выполнять процессы.
Например, одно приложение, которое ограничено в стандартной конфигурации Ubuntu, - это программа просмотра PDF Evince. Хотя Evince может работать как ваша учетная запись, он может выполнять только определенные действия. У Evince есть только минимум необходимых разрешений для работы и работы с PDF-документами. Если в PDF-рендере Evince была обнаружена уязвимость, и вы открыли вредоносный PDF-документ, который захватил Evince, AppArmor ограничил бы ущерб, который может нанести Evince. В традиционной модели безопасности Linux Evince будет иметь доступ ко всему, к чему у вас есть доступ. С AppArmor у него есть доступ только к тем вещам, к которым нужен просмотрщик PDF..
AppArmor особенно полезен для ограничения использования программного обеспечения, такого как веб-браузер или серверное программное обеспечение..
Просмотр статуса AppArmor
Чтобы просмотреть статус AppArmor, выполните в терминале следующую команду:
sudo apparmor_status
Вы увидите, работает ли AppArmor в вашей системе (он работает по умолчанию), установленные профили AppArmor и запущенные ограниченные процессы.
Профили AppArmor
В AppArmor процессы ограничены профилями. Список выше показывает нам протоколы, которые установлены в системе - эти идут с Ubuntu. Вы также можете установить другие профили, установив пакет apparmor-profile. Некоторые пакеты, например серверное программное обеспечение, могут поставляться с собственными профилями AppArmor, которые устанавливаются в системе вместе с пакетом. Вы также можете создавать свои собственные профили AppArmor для ограничения программного обеспечения.
Профили могут работать в «режиме жалобы» или «принудительном режиме». В принудительном режиме - настройка по умолчанию для профилей, поставляемых с Ubuntu - AppArmor предотвращает выполнение приложениями ограниченных действий. В режиме жалоб AppArmor позволяет приложениям выполнять ограниченные действия и создает запись в журнале, сообщающую об этом. Режим Complain идеально подходит для тестирования профиля AppArmor перед включением его в принудительном режиме - вы увидите любые ошибки, которые могут возникнуть в принудительном режиме.
Профили хранятся в каталоге /etc/apparmor.d. Эти профили представляют собой текстовые файлы, которые могут содержать комментарии.
Включение AppArmor для Firefox
Вы также можете заметить, что AppArmor поставляется с профилем Firefox - это usr.bin.firefox файл в /etc/apparmor.d каталог. По умолчанию он не включен, так как может слишком сильно ограничить Firefox и вызвать проблемы. /etc/apparmor.d/disable папка содержит ссылку на этот файл, указывая, что он отключен.
Чтобы включить профиль Firefox и ограничить Firefox AppArmor, выполните следующие команды:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser -a
После запуска этих команд запустите sudo apparmor_status снова, и вы увидите, что профили Firefox теперь загружены.
Чтобы отключить профиль Firefox, если он вызывает проблемы, выполните следующие команды:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Более подробную информацию об использовании AppArmor можно найти на официальной странице руководства по Ubuntu Server в AppArmor..