Домашняя » как » Что такое AppArmor и как он защищает Ubuntu?

    Что такое AppArmor и как он защищает Ubuntu?

    AppArmor - важная функция безопасности, которая по умолчанию включена в Ubuntu начиная с Ubuntu 7.10. Тем не менее, он работает в фоновом режиме, поэтому вы можете не знать, что это такое и что он делает.

    AppArmor блокирует уязвимые процессы, ограничивая ущерб, который могут нанести уязвимости безопасности в этих процессах. AppArmor также можно использовать для блокировки Mozilla Firefox для повышения безопасности, но по умолчанию этого не происходит.

    Что такое AppArmor?

    AppArmor похож на SELinux, по умолчанию используется в Fedora и Red Hat. Хотя AppArmor и SELinux работают по-разному, они обеспечивают безопасность «обязательного контроля доступа» (MAC). По сути, AppArmor позволяет разработчикам Ubuntu ограничивать действия, которые могут выполнять процессы.

    Например, одно приложение, которое ограничено в стандартной конфигурации Ubuntu, - это программа просмотра PDF Evince. Хотя Evince может работать как ваша учетная запись, он может выполнять только определенные действия. У Evince есть только минимум необходимых разрешений для работы и работы с PDF-документами. Если в PDF-рендере Evince была обнаружена уязвимость, и вы открыли вредоносный PDF-документ, который захватил Evince, AppArmor ограничил бы ущерб, который может нанести Evince. В традиционной модели безопасности Linux Evince будет иметь доступ ко всему, к чему у вас есть доступ. С AppArmor у него есть доступ только к тем вещам, к которым нужен просмотрщик PDF..

    AppArmor особенно полезен для ограничения использования программного обеспечения, такого как веб-браузер или серверное программное обеспечение..

    Просмотр статуса AppArmor

    Чтобы просмотреть статус AppArmor, выполните в терминале следующую команду:

    sudo apparmor_status

    Вы увидите, работает ли AppArmor в вашей системе (он работает по умолчанию), установленные профили AppArmor и запущенные ограниченные процессы.

    Профили AppArmor

    В AppArmor процессы ограничены профилями. Список выше показывает нам протоколы, которые установлены в системе - эти идут с Ubuntu. Вы также можете установить другие профили, установив пакет apparmor-profile. Некоторые пакеты, например серверное программное обеспечение, могут поставляться с собственными профилями AppArmor, которые устанавливаются в системе вместе с пакетом. Вы также можете создавать свои собственные профили AppArmor для ограничения программного обеспечения.

    Профили могут работать в «режиме жалобы» или «принудительном режиме». В принудительном режиме - настройка по умолчанию для профилей, поставляемых с Ubuntu - AppArmor предотвращает выполнение приложениями ограниченных действий. В режиме жалоб AppArmor позволяет приложениям выполнять ограниченные действия и создает запись в журнале, сообщающую об этом. Режим Complain идеально подходит для тестирования профиля AppArmor перед включением его в принудительном режиме - вы увидите любые ошибки, которые могут возникнуть в принудительном режиме.

    Профили хранятся в каталоге /etc/apparmor.d. Эти профили представляют собой текстовые файлы, которые могут содержать комментарии.

    Включение AppArmor для Firefox

    Вы также можете заметить, что AppArmor поставляется с профилем Firefox - это usr.bin.firefox файл в /etc/apparmor.d каталог. По умолчанию он не включен, так как может слишком сильно ограничить Firefox и вызвать проблемы. /etc/apparmor.d/disable папка содержит ссылку на этот файл, указывая, что он отключен.

    Чтобы включить профиль Firefox и ограничить Firefox AppArmor, выполните следующие команды:

    sudo rm /etc/apparmor.d/disable/usr.bin.firefox

    cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser -a

    После запуска этих команд запустите sudo apparmor_status снова, и вы увидите, что профили Firefox теперь загружены.

    Чтобы отключить профиль Firefox, если он вызывает проблемы, выполните следующие команды:

    sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/

    sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox


    Более подробную информацию об использовании AppArmor можно найти на официальной странице руководства по Ubuntu Server в AppArmor..