AppArmor блокирует уязвимые процессы, что может привести к ограничению уязвимостей, связанных с повреждением в этих процессах. AppArmor также можно использовать для блокировки Mozilla Firefox для повышения безопасности, но по умолчанию он не делает этого.
Что такое AppArmor?
AppArmor похож на SELinux, используемый по умолчанию в Fedora и Red Hat. Хотя они работают по-разному, как AppArmor, так и SELinux обеспечивают «обязательный контроль доступа» (MAC). Фактически AppArmor позволяет разработчикам Ubuntu ограничивать действия, которые могут выполнять процессы.
Например, одно приложение, которое ограничено в конфигурации по умолчанию Ubuntu, - это программа просмотра Evince PDF. Хотя Evince может работать как ваша учетная запись пользователя, она может принимать только определенные действия. Evince имеет только минимальные разрешения, необходимые для запуска и работы с документами PDF. Если в рендерере Evince обнаружена уязвимость, и вы открыли вредоносный документ PDF, который взял на себя Evince, AppArmor ограничил бы ущерб, который мог бы сделать Evince. В традиционной модели безопасности Linux Evince будет иметь доступ ко всему, к чему у вас есть доступ. С AppArmor он имеет доступ только к тем вещам, к которым необходим просмотрщик PDF.
AppArmor особенно полезен для ограничения использования программного обеспечения, которое может быть использовано, например, веб-браузера или серверного программного обеспечения.
Просмотр статуса AppArmor
Чтобы просмотреть статус AppArmor, выполните следующую команду в терминале:
sudo apparmor_status
Вы увидите, работает ли AppArmor в вашей системе (он работает по умолчанию), установленные профили AppArmor и запущенные процессы.
Профили AppArmor
В AppArmor процессы ограничены профилями. В приведенном выше списке указаны протоколы, установленные в системе, - они поставляются с Ubuntu. Вы также можете установить другие профили, установив пакет aparmor-profiles. Например, некоторые пакеты - серверное программное обеспечение - могут поставляться со своими собственными профилями AppArmor, которые установлены в системе вместе с пакетом. Вы также можете создавать собственные профили AppArmor для ограничения программного обеспечения.
Профили могут работать в режиме «жалобы» или «принудительного режима». В режиме принудительного исполнения - настройка по умолчанию для профилей, которые поставляются с Ubuntu - AppArmor запрещает приложениям принимать ограниченные действия. В режиме жалобы AppArmor позволяет приложениям принимать ограниченные действия и создает запись в журнале, жалующуюся на это. Режим жалобы идеально подходит для тестирования профиля AppArmor, прежде чем включать его в режим принудительного исполнения - вы увидите ошибки, которые произойдут в режиме принудительного исполнения.
Профайлы хранятся в каталоге /etc/apparmor.d. Эти профили представляют собой текстовые файлы, которые могут содержать комментарии.
Включение AppArmor для Firefox
Вы также можете заметить, что AppArmor поставляется с профилем Firefox - это usr.bin.firefox файл в /etc/apparmor.d каталог. По умолчанию он не включен, так как он может слишком сильно ограничивать Firefox и вызывать проблемы. /etc/apparmor.d/disable папка содержит ссылку на этот файл, указывающую, что она отключена.
Чтобы включить профиль Firefox и ограничить Firefox с помощью AppArmor, выполните следующие команды:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
После запуска этих команд запустите sudo apparmor_status снова, и вы увидите, что теперь профили Firefox загружены.
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Для получения более подробной информации об использовании AppArmor обратитесь к официальной странице руководства сервера Ubuntu на AppArmor.
