AppArmor sulkee haavoittuvat prosessit, jotka rajoittavat näiden prosessien tietoturvahaavoittumia. AppArmoria voidaan käyttää myös lukitsemaan Mozilla Firefoxia turvallisuuden parantamiseksi, mutta se ei tee sitä oletuksena.
Mikä on AppArmor?
AppArmor on samanlainen kuin SELinux, jota käytetään oletuksena Fedorassa ja Red Hatissa. Vaikka ne toimivat eri tavoin, sekä AppArmor että SELinux tarjoavat "pakollisen pääsynvalvonnan" (MAC) turvallisuuden. Itse asiassa AppArmor sallii Ubuntun kehittäjät rajoittaa toimintaprosessien toteuttamista.
Esimerkiksi yksi sovellus, joka on rajoitettu Ubuntun oletusasetuksissa, on Evince PDF -näkymä. Vaikka Evince voi toimia käyttäjätunnuksestasi, se voi tehdä vain tiettyjä toimia. Evince saa vain pienet käyttöoikeudet PDF-dokumenttien suorittamiseen ja työskentelyyn. Jos haavoittuvuus havaittiin Evincen PDF-renderöinnissä ja olet avannut haitallisen PDF-dokumentin, joka otti Evincen käyttöön, AppArmor rajoittaisi vahingon, jonka Evince voisi tehdä. Perinteisessä Linux-turvallisuusmallissa Evince olisi päässyt kaikkiin, mihin sinulla on pääsy. AppArmorilla on vain pääsy asioihin, joita PDF-katseluohjelma tarvitsee.
AppArmor on erityisen hyödyllinen rajoittamaan ohjelmia, joita voidaan käyttää, kuten web-selain tai palvelinohjelmisto.
AppArmorin tilan tarkastelu
Voit tarkastella AppArmorin tilan suorittamalla seuraavan komennon päätteessä:
sudo apparmor_status
Näet, onko AppArmor käynnissä järjestelmässä (se toimii oletuksena), asennetut AppArmor-profiilit ja käynnissä olevat rajoitetut prosessit.
AppArmor-profiilit
AppArmorissa prosesseja rajoittavat profiilit. Yllä oleva luettelo näyttää meille järjestelmään asennetut protokollat - nämä tulevat Ubuntun mukana. Voit myös asentaa muita profiileja asentamalla apparmor-profiilipaketin. Jotkin paketit - esimerkiksi palvelinohjelmisto - voivat olla omat AppArmor-profiilit, jotka asennetaan järjestelmään paketin mukana. Voit myös luoda omia AppArmor-profiileja ohjelmiston rajoittamiseksi.
Profiilit voivat toimia "valitustilassa" tai "pakkotilassa". Vahvistustilassa - oletusasetus Ubuntu-AppArmor-sovelluksen profiileille estää sovelluksia tekemästä rajoitettuja toimia. Valitustilassa AppArmor sallii sovellusten ryhtyä rajoitettuihin toimiin ja luo lokitiedon, joka valittaa tästä. Valitustila soveltuu erinomaisesti AppArmor-profiilin testaamiseen ennen sen käyttöönottoa - näet virheitä, jotka saattavat tapahtua pakkotilassa.
Profiilit tallennetaan /etc/apparmor.d-hakemistoon. Nämä profiilit ovat tavallisia tekstitiedostoja, jotka voivat sisältää kommentteja.
AppArmorin käyttöönotto Firefoxille
Voit myös huomata, että AppArmorissa on Firefox-profiili - se on usr.bin.firefox tiedosto /etc/apparmor.d hakemistoon. Se ei ole käytössä oletuksena, koska se saattaa rajoittaa Firefoxia liikaa ja aiheuttaa ongelmia. /etc/apparmor.d/disable kansio sisältää linkin tähän tiedostoon, mikä osoittaa, että se on poistettu käytöstä.
Voit ottaa Firefox-profiilin käyttöön ja rajoittaa Firefoxin AppArmorilla suorittamalla seuraavat komennot:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
Kun olet suorittanut nämä komennot, suorita sudo apparmor_status komento uudelleen ja näet, että Firefox-profiilit on nyt ladattu.
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Lisätietoja AppArmorin käytöstä on virallisen Ubuntu Server Guide -sivun kohdasta AppArmor.
