Шта је АппАрмор, и како га чува Убунту?
АппАрмор је важна сигурносна функција која је подразумевано укључена у Убунту од Убунту 7.10. Међутим, она ради тихо у позадини, тако да можда нисте свесни шта је то и шта ради.
АппАрмор блокира рањиве процесе, ограничавајући штетне сигурносне пропусте у овим процесима. АппАрмор се такође може користити за закључавање Мозилла Фирефока за повећану безбедност, али то не ради по дефаулту.
Шта је АппАрмор?
АппАрмор је сличан СЕЛинук-у, који се подразумевано користи у Федора и Ред Хат. Док раде различито, АппАрмор и СЕЛинук обезбеђују безбедност „обавезне контроле приступа“ (МАЦ). У ствари, АппАрмор дозвољава програмерима Убунтуа да ограниче процесе које акције могу да предузму.
На пример, једна апликација која је ограничена у подразумеваној конфигурацији Убунтуа је Евинце ПДФ виевер. Док Евинце може да ради као ваш кориснички налог, он може да предузме само одређене радње. Евинце има само минимум дозвола потребних за покретање и рад са ПДФ документима. Ако је рањивост откривена у Евинцеовом ПДФ рендереру и када сте отворили злонамјерни ПДФ документ који је преузео Евинце, АппАрмор би ограничио штету коју би Евинце могао учинити. У традиционалном Линук сигурносном моделу, Евинце би имао приступ свему што имате приступ. Помоћу апликације АппАрмор има приступ само стварима којима је потребан приступ прегледачу ПДФ-а.
АппАрмор је посебно користан за ограничавање софтвера који се може користити, као што је веб прегледник или серверски софтвер.
Преглед статуса АппАрмор-а
Да бисте видели статус апликације АппАрмор, покрените следећу команду у терминалу:
судо аппармор_статус
Видећете да ли се АппАрмор покреће на вашем систему (покреће се подразумевано), АппАрмор профили који су инсталирани и ограничени процеси који се покрећу.
АппАрмор Профилес
У АппАрмор-у, процеси су ограничени профилима. Горња листа нам показује протоколе који су инсталирани на систему - ови долазе са Убунту. Такође можете инсталирати и друге профиле инсталирањем пакета аппармор-профилес. Неки пакети - серверски софтвер, на пример - могу да долазе са сопственим АппАрмор профилима који су инсталирани на систему заједно са пакетом. Такође можете да креирате сопствене АппАрмор профиле да бисте ограничили софтвер.
Профили могу да се покрећу у „режиму жалбе“ или „примени режим“. У режиму примене - подразумевана поставка за профиле који долазе са Убунту - АппАрмор спречава апликације да предузимају ограничене радње. У режиму жалбе, АппАрмор дозвољава апликацијама да предузму ограничене радње и креирају унос дневника који се жали на ово. Режим жалбе је идеалан за тестирање АппАрмор профила пре него што га омогућите у режиму примене - видећете све грешке које би се појавиле у режиму примене.
Профили се чувају у директоријуму /етц/аппармор.д. Ови профили су текстуални фајлови који могу садржати коментаре.
Омогућавање АппАрмор за Фирефок
Такође можете приметити да АппАрмор долази са Фирефок профилом - то је уср.бин.фирефок у датотеци /етц/аппармор.д директоријум. Он није подразумевано омогућен, јер може превише ограничити Фирефок и узроковати проблеме. Тхе /етц/аппармор.д/дисабле мапа садржи везу до ове датотеке, што значи да је онемогућена.
Да бисте омогућили Фирефок профил и затворили Фирефок помоћу АппАрмор, покрените следеће команде:
судо рм /етц/аппармор.д/дисабле/уср.бин.фирефок
цат /етц/аппармор.д/уср.бин.фирефок | судо аппармор_парсер -а
Након што покренете ове команде, покрените судо аппармор_статус команду поново и видећете да су Фирефок профили сада учитани.
Да бисте онемогућили Фирефок профил ако изазове проблеме, покрените следеће команде:
судо лн -с /етц/аппармор.д/уср.бин.фирефок /етц/аппармор.д/дисабле/
судо аппармор_парсер -Р /етц/аппармор.д/уср.бин.фирефок
За детаљније информације о коришћењу АппАрмор-а, консултујте званичну страницу Убунту Сервер Гуиде на АппАрмор-у.
