מה זה AppArmor, ואיך זה לשמור על אובונטו מאובטח?
AppArmor הוא מאפיין אבטחה חשוב שנכלל כברירת מחדל עם אובונטו מאז אובונטו 7.10. עם זאת, הוא פועל בשקט ברקע, כך שאתה לא יכול להיות מודע למה זה ומה זה עושה.
AppArmor מנע תהליכים פגיעים, הגבלת הפגיעויות אבטחה נזק בתהליכים אלה יכול לגרום. AppArmor יכול לשמש גם כדי לנעול את Mozilla Firefox עבור אבטחה מוגברת, אבל זה לא עושה את זה כברירת מחדל.
מהו AppArmor?
AppArmor דומה ל- SELinux, המשמש כברירת מחדל ב- Fedora ו- Red Hat. בעוד שהם פועלים בצורה שונה, הן AppArmor והן SELinux מספקים אבטחה "בקרת גישה" (MAC). למעשה, AppArmor מאפשר למפתחי אובונטו להגביל את פעולות הפעולות שניתן לנקוט.
לדוגמה, יישום אחד המוגבל בתצורת ברירת המחדל של אובונטו הוא הצופה של Evince PDF. בעוד ש- Evince עשוי לפעול כחשבון המשתמש שלך, הוא יכול לבצע פעולות ספציפיות בלבד. Evince רק את המינימום המינימלי של הרשאות צורך לרוץ ולעבוד עם מסמכי PDF. אם התגלה פגיעות במעבדת PDF של Evins ופתח מסמך PDF זדוני אשר השתלט על Evince, AppArmor היה להגביל את הנזק Evince יכול לעשות. במודל האבטחה הלינוקס המסורתי, לאווינס תהיה גישה לכל מה שיש לך גישה אליו. עם AppArmor, יש לו רק גישה לדברים שצופה PDF צריך לגשת אליהם.
AppArmor שימושי במיוחד להגבלת תוכנות שעשויות להיות מנוצלות, כגון דפדפן אינטרנט או תוכנת שרת.
הצגת מצב AppArmor
כדי להציג את המצב של AppArmor, הפעל את הפקודה הבאה במסוף:
סודו
תראו אם AppArmor פועל במערכת שלכם (הוא פועל כברירת מחדל), פרופילי AppArmor המותקנים והתהליכים המצומצמים שפועלים.
פרופילי AppArmor
ב AppArmor, תהליכים מוגבלים על ידי פרופילים. הרשימה לעיל מראה לנו את הפרוטוקולים המותקנים על המערכת - אלה באים עם אובונטו. ניתן גם להתקין פרופילים אחרים על ידי התקנת חבילת הפרופילים של הזוהרים. חבילות מסוימות - תוכנות שרת, לדוגמה - עשויות לבוא עם פרופילי AppArmor שלהם המותקנים במערכת יחד עם החבילה. ניתן גם ליצור פרופילי AppArmor משלך כדי להגביל את התוכנה.
פרופילים יכולים לפעול במצב "מצב התלונות" או "לאכוף מצב". במצב אכיפה - הגדרת ברירת המחדל לפרופילים שמגיעים עם אובונטו - AppArmor מונעת מיישומים לנקוט פעולות מוגבלות. במצב מתלונן, AppArmor מאפשר ליישומים לנקוט פעולות מוגבלות ויוצר ערך יומן להתלונן על זה. מצב התלונה אידיאלי לבדיקת פרופיל AppArmor לפני הפעלתו במצב אכיפה - תראה שגיאות שיתרחשו במצב אכיפה.
פרופילים מאוחסנים בספריה /etc/apparmor.d. פרופילים אלה הם קובצי טקסט רגיל שיכולים להכיל הערות.
הפעלת AppArmor עבור Firefox
אתה יכול גם להבחין כי AppArmor מגיע עם פרופיל פיירפוקס - זה usr.bin.firefox קובץ ב /etc/apparmor.d ספרייה. היא אינה מופעלת כברירת מחדל, שכן היא עלולה להגביל את פיירפוקס יותר מדי ולגרום לבעיות. ה /etc/apparmor.d/disable התיקיה מכילה קישור לקובץ זה, המציין שהוא מושבת.
כדי להפעיל את פרופיל Firefox ולהגביל את Firefox עם AppArmor, הפעל את הפקודות הבאות:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox sudo apparmor_parser -a
לאחר הפעלת פקודות אלה, הפעל את סודו הפקודה ותראה כי הפרופילים של Firefox נטענים כעת.
כדי להשבית את פרופיל Firefox אם הוא גורם לבעיות, הפעל את הפקודות הבאות:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
לקבלת מידע מפורט יותר אודות השימוש ב- AppArmor, עיין בדף הרשמי של מדריך השרתים של אובונטו ב- AppArmor.