Τι είναι το AppArmor και πώς διατηρείται το Ubuntu Secure;
Το AppArmor είναι ένα σημαντικό χαρακτηριστικό ασφάλειας που έχει συμπεριληφθεί από προεπιλογή με το Ubuntu από το Ubuntu 7.10. Ωστόσο, τρέχει σιωπηλά στο παρασκήνιο, επομένως ίσως να μην γνωρίζετε τι είναι και τι κάνει.
Το AppArmor κλειδώνει τις ευάλωτες διαδικασίες, περιορίζοντας τις ευπάθειες ασφαλείας που προκαλούν οι ζημιές σε αυτές τις διαδικασίες. Το AppArmor μπορεί επίσης να χρησιμοποιηθεί για να κλειδώσει το Mozilla Firefox για αυξημένη ασφάλεια, αλλά δεν το κάνει αυτό από προεπιλογή.
Τι είναι το AppArmor?
Το AppArmor είναι παρόμοιο με το SELinux, το οποίο χρησιμοποιείται από προεπιλογή σε Fedora και Red Hat. Ενώ λειτουργούν διαφορετικά, τόσο το AppArmor όσο και το SELinux παρέχουν ασφάλεια "υποχρεωτικού ελέγχου πρόσβασης" (MAC). Στην πραγματικότητα, το AppArmor επιτρέπει στους προγραμματιστές του Ubuntu να περιορίσουν τις διαδικασίες που μπορούν να λάβουν οι διαδικασίες.
Για παράδειγμα, μια εφαρμογή που είναι περιορισμένη στην προεπιλεγμένη διαμόρφωση του Ubuntu είναι το πρόγραμμα προβολής Evince PDF. Παρόλο που ο Evince μπορεί να τρέξει ως λογαριασμός χρήστη, μπορεί να λάβει συγκεκριμένες ενέργειες. Η Evince έχει μόνο τα ελάχιστα απαιτούμενα δικαιώματα για να τρέχει και να εργάζεται με έγγραφα PDF. Εάν εντοπίσατε μια ευπάθεια στον επεξεργαστή PDF της Evince και ανοίξατε ένα κακόβουλο έγγραφο PDF που ανέλαβε τον Evince, η AppArmor θα περιόριζε τη ζημιά που θα μπορούσε να κάνει η Evince. Στο παραδοσιακό μοντέλο ασφαλείας Linux, το Evince θα έχει πρόσβαση σε όλα τα οποία έχετε πρόσβαση. Με το AppArmor, έχει πρόσβαση μόνο σε πράγματα που χρειάζεται ένας θεατής PDF.
Το AppArmor είναι ιδιαίτερα χρήσιμο για τον περιορισμό του λογισμικού που μπορεί να εκμεταλλευτεί, όπως ένα πρόγραμμα περιήγησης ιστού ή λογισμικό διακομιστή.
Προβολή της Κατάστασης AppArmor
Για να δείτε την κατάσταση του AppArmor, εκτελέστε την ακόλουθη εντολή σε ένα τερματικό:
sudo apparmor_status
Θα δείτε αν το AppArmor εκτελείται στο σύστημά σας (εκτελείται από προεπιλογή), τα προφίλ AppArmor που είναι εγκατεστημένα και οι περιορισμένες διαδικασίες που εκτελούνται.
Προφίλ AppArmor
Στην AppArmor, οι διαδικασίες περιορίζονται από τα προφίλ. Η παραπάνω λίστα μας δείχνει τα πρωτόκολλα που είναι εγκατεστημένα στο σύστημα - αυτά που έρχονται με το Ubuntu. Μπορείτε επίσης να εγκαταστήσετε άλλα προφίλ εγκαθιστώντας το πακέτο apparmor-profiles. Ορισμένα πακέτα - λογισμικό διακομιστή, για παράδειγμα - μπορεί να έρχονται με τα δικά τους προφίλ AppArmor που είναι εγκατεστημένα στο σύστημα μαζί με το πακέτο. Μπορείτε επίσης να δημιουργήσετε τα δικά σας προφίλ AppArmor για να περιορίσετε το λογισμικό.
Τα προφίλ μπορούν να εκτελεστούν σε κατάσταση "παραπόνων" ή "επιβολή επιβολής". Σε κατάσταση επιβολής - η προεπιλεγμένη ρύθμιση για τα προφίλ που περιέχονται στο Ubuntu - AppArmor αποτρέπει τις εφαρμογές από τη λήψη περιορισμένων ενεργειών. Σε κατάσταση παραπόνων, το AppArmor επιτρέπει στις εφαρμογές να λαμβάνουν περιορισμένες ενέργειες και δημιουργεί μια καταχώρηση καταγραφής που διαμαρτύρεται για αυτό. Η λειτουργία καταγγελίας είναι ιδανική για να δοκιμάσετε ένα προφίλ AppArmor πριν την ενεργοποιήσετε σε κατάσταση επιβολής - θα δείτε τυχόν σφάλματα που θα εμφανιστούν στην κατάσταση επιβολής.
Τα προφίλ αποθηκεύονται στον κατάλογο /etc/apparmor.d. Αυτά τα προφίλ είναι αρχεία απλού κειμένου που μπορούν να περιέχουν σχόλια.
Ενεργοποίηση του AppArmor για τον Firefox
Μπορεί επίσης να παρατηρήσετε ότι το AppArmor συνοδεύεται από ένα προφίλ Firefox - είναι το usr.bin.firefox αρχείου στο /etc/apparmor.d Ευρετήριο. Δεν είναι ενεργοποιημένη από προεπιλογή, καθώς μπορεί να περιορίσει υπερβολικά τον Firefox και να προκαλέσει προβλήματα. ο /etc/apparmor.d/disable φάκελο περιέχει ένα σύνδεσμο προς αυτό το αρχείο, υποδεικνύοντας ότι είναι απενεργοποιημένο.
Για να ενεργοποιήσετε το προφίλ του Firefox και να περιορίσετε τον Firefox με AppArmor, εκτελέστε τις ακόλουθες εντολές:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser -a
Αφού εκτελέσετε αυτές τις εντολές, εκτελέστε το sudo apparmor_status εντολή ξανά και θα δείτε ότι τα προφίλ του Firefox φορτώνονται τώρα.
Για να απενεργοποιήσετε το προφίλ του Firefox εάν προκαλεί προβλήματα, εκτελέστε τις ακόλουθες εντολές:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Για περισσότερες πληροφορίες σχετικά με τη χρήση του AppArmor, συμβουλευτείτε την επίσημη σελίδα του Οδηγού του Ubuntu Server στο AppArmor.