Laman » bagaimana untuk » Apakah AppArmor, dan Bagaimana Ia Menjaga Ubuntu Secure?

    Apakah AppArmor, dan Bagaimana Ia Menjaga Ubuntu Secure?

    AppArmor adalah ciri keselamatan penting yang telah disertakan secara lalai dengan Ubuntu sejak Ubuntu 7.10. Walau bagaimanapun, ia berjalan dengan senyap di latar belakang, jadi anda mungkin tidak menyedari apa itu dan apa yang dilakukannya.

    AppArmor mengunci proses terdedah, menyekat kelemahan keselamatan kerosakan dalam proses ini yang boleh menyebabkan. AppArmor juga boleh digunakan untuk mengunci Mozilla Firefox untuk peningkatan keselamatan, tetapi ia tidak melakukan ini secara lalai.

    Apa itu AppArmor?

    AppArmor serupa dengan SELinux, digunakan secara lalai di Fedora dan Red Hat. Walaupun mereka bekerja secara berbeza, kedua-dua AppArmor dan SELinux menyediakan keselamatan "kawalan akses mandatori" (MAC). Sebenarnya, AppArmor membenarkan pemaju Ubuntu untuk menyekat proses tindakan yang boleh diambil.

    Sebagai contoh, satu aplikasi yang disekat dalam konfigurasi lalai Ubuntu adalah penonton Evince PDF. Walaupun Evince boleh berjalan sebagai akaun pengguna anda, ia hanya boleh mengambil tindakan tertentu. Evince hanya mempunyai minimum keizinan yang diperlukan untuk menjalankan dan bekerja dengan dokumen PDF. Sekiranya terdapat kelemahan dalam penghantar PDF Evince dan anda membuka dokumen PDF jahat yang mengambil alih Evince, AppArmor akan menyekat kerosakan yang boleh dilakukan oleh Evince. Dalam model keselamatan tradisional Linux, Evince akan mempunyai akses kepada semua yang anda akses. Dengan AppArmor, ia hanya mempunyai akses kepada perkara yang perlu dilihat oleh penonton PDF.

    AppArmor amat berguna untuk menyekat perisian yang mungkin dieksploitasi, seperti pelayar web atau perisian pelayan.

    Melihat Status AppArmor

    Untuk melihat status AppArmor, jalankan arahan berikut dalam terminal:

    sudo apparmor_status

    Anda akan melihat sama ada AppArmor sedang berjalan pada sistem anda (ia berjalan secara lalai), profil AppArmor yang dipasang, dan proses terkurung yang sedang berjalan.

    Profil AppArmor

    Dalam AppArmor, proses dibatasi oleh profil. Senarai di atas menunjukkan kepada kami protokol yang dipasang pada sistem - yang datang dengan Ubuntu. Anda juga boleh memasang profil lain dengan memasang pakej profil aplikasi. Sesetengah pakej - perisian pelayan, contohnya - mungkin datang dengan profil AppArmor mereka sendiri yang dipasang pada sistem bersama dengan pakej. Anda juga boleh membuat profil AppArmor anda sendiri untuk menyekat perisian.

    Profil boleh berjalan dalam "mod pengadu" atau "mod menguatkuasakan." Dalam mod menguatkuasakan - tetapan lalai untuk profil yang datang dengan Ubuntu - AppArmor menghalang aplikasi daripada mengambil tindakan terhad. Dalam mod pengadu, AppArmor membenarkan aplikasi mengambil tindakan terhad dan mencipta entri log yang mengadu tentang perkara ini. Mod aduan adalah sesuai untuk menguji profil AppArmor sebelum membolehkannya menguatkuasakan mod - anda akan melihat sebarang ralat yang akan berlaku dalam mod menguatkuasakan.

    Profil disimpan dalam direktori /etc/apparmor.d. Profil ini adalah fail teks biasa yang boleh mengandungi komen.

    Mendayakan AppArmor Untuk Firefox

    Anda juga mungkin mendapati bahawa AppArmor mempunyai profil Firefox - ia adalah usr.bin.firefox fail dalam /etc/apparmor.d direktori. Ia tidak diaktifkan secara lalai, kerana ia mungkin menyekat terlalu banyak Firefox dan menyebabkan masalah. The /etc/apparmor.d/disable folder mengandungi pautan ke fail ini, menunjukkan bahawa ia dilumpuhkan.

    Untuk mendayakan profil Firefox dan selaraskan Firefox dengan AppArmor, jalankan arahan berikut:

    sudo rm /etc/apparmor.d/disable/usr.bin.firefox

    cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser -a

    Selepas anda menjalankan arahan ini, jalankan sudo apparmor_status perintahkan sekali lagi dan anda akan melihat bahawa profil Firefox kini dimuatkan.

    Untuk melumpuhkan profil Firefox jika ia menyebabkan masalah, jalankan arahan berikut:

    sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/

    sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox


    Untuk maklumat lebih terperinci mengenai penggunaan AppArmor, rujuk halaman rasmi Panduan Server Ubuntu pada AppArmor.