Mikä on AppArmor ja miten se pitää Ubuntu Secure?
AppArmor on tärkeä suojausominaisuus, joka on oletusarvoisesti sisällytetty Ubuntuun, koska Ubuntu 7.10. Se toimii kuitenkin taustalla, joten et ehkä ole tietoinen siitä, mitä se on ja mitä se tekee.
AppArmor lukitsee haavoittuvat prosessit ja rajoittaa näiden prosessien aiheuttamia vaurioita. AppArmoria voidaan käyttää myös Mozilla Firefoxin lukitsemiseen turvallisuuden lisäämiseksi, mutta se ei tee sitä oletusarvoisesti.
Mikä on AppArmor?
AppArmor on samanlainen kuin SELinux, jota käytetään oletusarvoisesti Fedorassa ja Red Hatissa. Sekä AppArmor että SELinux tarjoavat "pakollisen pääsynvalvonnan" (MAC) tietoturvan, kun ne toimivat eri tavalla. Itse asiassa AppArmor sallii Ubuntujen kehittäjien rajoittaa toimintojen prosesseja.
Esimerkiksi yksi sovellus, joka on rajoitettu Ubuntuen oletuskokoonpanossa, on Evince PDF-katseluohjelma. Vaikka Evince voi toimia käyttäjätunnuksessasi, se voi toteuttaa vain tiettyjä toimia. Evince: llä on vain vähimmäisoikeudet, joita tarvitaan PDF-dokumenttien suorittamiseen ja käyttämiseen. Jos haavoittuvuus havaittiin Evince PDF -palvelimessa ja avasit pahan PDF-dokumentin, joka otti Evincein vastaan, AppArmor rajoittaisi Evincein aiheuttamaa vahinkoa. Perinteisessä Linux-tietoturvamallissa Evince voisi käyttää kaikkea, johon sinulla on pääsy. AppArmorin avulla sillä on vain pääsy asioihin, joita PDF-katseluohjelma tarvitsee.
AppArmor on erityisen hyödyllinen sellaisten ohjelmistojen rajoittamisessa, joita voidaan hyödyntää, kuten web-selain tai palvelinohjelmisto.
AppArmorin tilan tarkasteleminen
Jos haluat tarkastella AppArmorin tilaa, suorita seuraava komento päätelaitteessa:
sudo apparmor_status
Näet onko AppArmor käynnissä järjestelmässäsi (se on oletusarvoisesti käytössä), asennetut AppArmor-profiilit ja käynnissä olevat rajoitetut prosessit.
AppArmor-profiilit
AppArmorissa profiilit rajoittavat prosesseja. Yllä olevassa luettelossa näytetään järjestelmään asennetut protokollat - nämä tulevat Ubuntuun. Voit myös asentaa muita profiileja asentamalla apparmor-profiilit-paketin. Joissakin paketeissa - esimerkiksi palvelinohjelmistossa - voi olla omat AppArmor-profiilit, jotka asennetaan järjestelmään paketin mukana. Voit myös luoda omia AppArmor-profiileja ohjelmiston rajoittamiseksi.
Profiileja voidaan käyttää valitusmoodissa tai valvontatilassa. Ubuntu-ohjelmiston mukana tulleiden profiilien oletusasetus - AppArmor estää sovelluksia ottamasta rajoitettuja toimintoja. Valitustilassa AppArmor sallii sovellusten tehdä rajoitettuja toimintoja ja luo lokitiedoston, joka valittaa tästä. Kokeilutila on ihanteellinen AppArmor-profiilin testaamiseen ennen kuin se otetaan käyttöön valvontatilassa - näet virheitä, joita esiintyy valvontatilassa.
Profiilit tallennetaan hakemistoon /etc/apparmor.d. Nämä profiilit ovat tavallisia tekstitiedostoja, jotka voivat sisältää kommentteja.
AppArmorin käyttöönotto Firefoxille
Saatat myös huomata, että AppArmorilla on Firefox-profiili - se on usr.bin.firefox tiedosto /etc/apparmor.d hakemistoon. Se ei ole oletusarvoisesti käytössä, koska se voi rajoittaa Firefoxia liian paljon ja aiheuttaa ongelmia. /etc/apparmor.d/disable kansio sisältää linkin tähän tiedostoon, mikä osoittaa, että se on poistettu käytöstä.
Voit ottaa Firefox-profiilin käyttöön ja rajoittaa Firefoxin AppArmorin kanssa seuraavasti:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
kissa /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser -a
Kun olet suorittanut nämä komennot, suorita sudo apparmor_status komento uudelleen ja näet, että Firefox-profiilit on nyt ladattu.
Jos haluat poistaa Firefox-profiilin käytöstä, jos se aiheuttaa ongelmia, suorita seuraavat komennot:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Lisätietoja AppArmorin käytöstä saat virallisesta Ubuntu-palvelimen oppaasta AppArmorista.