Homepage » hogyan kell » Mi az AppArmor, és hogyan tartják biztonságosnak az Ubuntu-t?

    Mi az AppArmor, és hogyan tartják biztonságosnak az Ubuntu-t?

    Az AppArmor fontos biztonsági funkció, amelyet az Ubuntu óta alapértelmezésben az Ubuntu 7.10 óta használnak. A háttérben azonban csendben fut, így lehet, hogy nem ismeri, hogy mi az, és mit csinál.

    Az AppArmor lezárja a sérülékeny folyamatokat, és korlátozza az e folyamatok biztonsági réseit. Az AppArmor is használható a Mozilla Firefox zárolására a nagyobb biztonság érdekében, de ez nem teszi ezt alapértelmezés szerint.

    Mi az AppArmor?

    Az AppArmor hasonló a SELinuxhoz, amelyet alapértelmezés szerint a Fedora és a Red Hat használ. Bár az AppArmor és a SELinux másképpen működnek, a „kötelező hozzáférés-felügyelet” (MAC) biztonságot nyújtják. Az AppArmor lehetővé teszi az Ubuntu fejlesztői számára, hogy korlátozzák a műveletek folyamatát.

    Például az Ubuntu alapértelmezett konfigurációjában korlátozott alkalmazás az Evince PDF néző. Bár az Evince felhasználói fiókként futtatható, csak konkrét műveleteket hajthat végre. Az Evince csak a PDF dokumentumok futtatásához és kezeléséhez szükséges minimális engedélyekkel rendelkezik. Ha egy biztonsági rést fedeztek fel az Evince PDF renderelőjében, és megnyitott egy rosszindulatú PDF dokumentumot, amely átvette az Evince-t, az AppArmor korlátozza az Evince által okozott kárt. A hagyományos Linux biztonsági modellben az Evince hozzáférhet mindazhoz, amit hozzá tud férni. Az AppArmor segítségével csak olyan dolgokhoz férhet hozzá, amelyeket a PDF-nézőnek hozzá kell férnie.

    Az AppArmor különösen hasznos lehet a kiaknázható szoftverek, például webböngésző vagy szerver szoftver korlátozásában.

    Az AppArmor állapotának megtekintése

    Az AppArmor állapotának megtekintéséhez kattintson a következő parancsra egy terminálon:

    sudo apparmor_status

    Látni fogja, hogy az AppArmor fut-e a rendszeren (alapértelmezés szerint fut), a telepített AppArmor profilok és a futó korlátozott folyamatok.

    AppArmor profilok

    Az AppArmor-ban a folyamatokat a profilok korlátozzák. A fenti lista a rendszerre telepített protokollokat mutatja be - ezek az Ubuntu-val érkeznek. Más profilokat is telepíthet az apparmor-profile csomag telepítésével. Egyes csomagok - például a szerver szoftverek - saját AppArmor profiljaikkal is rendelkezhetnek, amelyek a csomaggal együtt a rendszerre vannak telepítve. A szoftver korlátozásához saját AppArmor profilokat is létrehozhat.

    A profilok „panaszos” vagy „érvényesítési módban” futtathatók. A végrehajtás módban - az alapértelmezett beállítás az Ubuntu-hoz tartozó profilokhoz - az AppArmor megakadályozza, hogy az alkalmazások korlátozott műveleteket hajtsanak végre. A panaszos módban az AppArmor lehetővé teszi az alkalmazások számára, hogy korlátozott műveleteket hajtsanak végre, és létrehoz egy naplóbejegyzést, amely ezzel panaszkodik. A keresési mód ideális egy AppArmor profil teszteléséhez, mielőtt engedélyezi azt a végrehajtási módban - látni fogja a végrehajtási módban előforduló hibákat.

    A profilok az /etc/apparmor.d könyvtárban tárolódnak. Ezek a profilok olyan egyszerű szöveges fájlok, amelyek megjegyzéseket tartalmazhatnak.

    Az AppArmor engedélyezése Firefox számára

    Azt is észreveheti, hogy az AppArmor Firefox-profilt tartalmaz - ez az usr.bin.firefox fájl a /etc/apparmor.d Könyvtár. Alapértelmezés szerint nincs engedélyezve, mivel túlságosan korlátozhatja a Firefoxot és problémákat okozhat. A /etc/apparmor.d/disable A mappa tartalmaz egy hivatkozást erre a fájlra, jelezve, hogy ez le van tiltva.

    A Firefox profil engedélyezéséhez és a Firefox AppArmorral való korlátozásához futtassa a következő parancsokat:

    sudo rm /etc/apparmor.d/disable/usr.bin.firefox

    macska /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser -a

    A parancsok futtatása után futtassa a sudo apparmor_status parancsot, és látni fogja, hogy a Firefox profilok most betöltődnek.

    A Firefox-profil letiltásához, ha problémákat okoz, futtassa a következő parancsokat:

    sudo ln-/etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/

    sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox


    Az AppArmor használatával kapcsolatos részletesebb információkért olvassa el a hivatalos Ubuntu szerver útmutatót az AppArmoron.