AppArmor este o caracteristică importantă de securitate care a fost inclusă implicit în Ubuntu de la Ubuntu 7.10. Cu toate acestea, rulează în tăcere în fundal, deci este posibil să nu fiți conștienți de ceea ce este și ce face.
AppArmor blochează procesele vulnerabile, restrângând vulnerabilitățile de securitate cauzate de aceste procese. AppArmor poate fi, de asemenea, folosit pentru a bloca Mozilla Firefox pentru o securitate sporită, dar nu face acest lucru în mod implicit.
AppArmor este similar cu SELinux, utilizat în mod implicit în Fedora și Red Hat. În timp ce funcționează diferit, atât AppArmor, cât și SELinux oferă securitate de "control acces obligatoriu" (MAC). De fapt, AppArmor permite dezvoltatorilor Ubuntu să restricționeze acțiunile pe care le pot lua procesele.
De exemplu, o aplicație care este restricționată în configurația implicită a Ubuntu este vizualizatorul Evince PDF. În timp ce Evince poate rula ca cont de utilizator, poate lua doar acțiuni specifice. Evince are minimum de permisiuni necesare pentru a rula și a lucra cu documente PDF. Dacă o vulnerabilitate a fost descoperită în programul de redare a lui Evince PDF și ați deschis un document PDF rău intenționat care a preluat Evince, AppArmor ar restrânge daunele pe care le-ar putea face Evince. În modelul tradițional de securitate Linux, Evince va avea acces la tot ceea ce aveți acces. Cu AppArmor, acesta are acces numai la lucrurile pe care un vizualizator PDF trebuie să le acceseze.
AppArmor este deosebit de util pentru restricționarea software-ului care poate fi exploatat, cum ar fi un browser web sau un software de tip server.
Pentru a vedea starea AppArmor, executați următoarea comandă într-un terminal:
sudo apparmor_status
Veți vedea dacă AppArmor rulează pe sistemul dvs. (rulează implicit), profilurile AppArmor instalate și procesele închise care rulează.
În AppArmor, procesele sunt restricționate prin profiluri. Lista de mai sus ne arată protocoalele care sunt instalate pe sistem - acestea apar cu Ubuntu. De asemenea, puteți instala alte profiluri instalând pachetul apparmor-profiles. Unele pachete - software de server, de exemplu - pot veni cu propriile profile AppArmor instalate pe sistem împreună cu pachetul. De asemenea, puteți crea propriile profiluri AppArmor pentru a restricționa software-ul.
Profilurile pot rula în modul "plângere" sau "modul de aplicare". În modul de aplicare - setarea implicită pentru profilurile care apar cu Ubuntu - AppArmor împiedică aplicațiile să întreprindă acțiuni restricționate. În modul de reclamație, AppArmor permite aplicațiilor să ia acțiuni restricționate și creează o intrare în jurnal care se plânge de acest lucru. Modul de complot este ideal pentru testarea unui profil AppArmor înainte de a-l activa în modul de aplicare - veți observa eventuale erori care ar apărea în modul de aplicare.
Profilurile sunt stocate în directorul /etc/apparmor.d. Aceste profiluri sunt fișiere cu text simplu care pot conține comentarii.
De asemenea, ați putea observa că AppArmor vine cu un profil Firefox - este usr.bin.firefox fișier în /etc/apparmor.d director. Nu este activat implicit, deoarece ar putea restricționa prea mult Firefox-ul și ar cauza probleme. /etc/apparmor.d/disable folder conține un link către acest fișier, indicând faptul că este dezactivat.
Pentru a activa profilul Firefox și pentru a restrânge Firefox cu AppArmor, executați următoarele comenzi:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
pisica /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser -a
După ce executați aceste comenzi, executați comanda sudo apparmor_status comanda din nou și veți vedea că profilurile Firefox sunt acum încărcate.
Pentru a dezactiva profilul Firefox dacă provoacă probleme, executați următoarele comenzi:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Pentru informații mai detaliate despre utilizarea AppArmor, consultați pagina oficială a Ghidului Serverului Ubuntu pe AppArmor.