AppArmor je važna sigurnosna značajka koja je standardno uključena u Ubuntu od Ubuntu 7.10. Ipak, radi u pozadini tiho, pa možda nećete biti svjesni onoga što je i što radi.
AppArmor briše ranjive procese, ograničavajući štetu sigurnosnih ranjivosti u tim procesima mogu uzrokovati. AppArmor se također može upotrijebiti za zaključavanje Mozilla Firefoxa radi povećanja sigurnosti, ali to ne čini prema zadanim postavkama.
AppArmor je sličan SELinuxu, koji se standardno koristi u Fedora i Red Hat. Dok rade drugačije, i AppArmor i SELinux pružaju sigurnu "obaveznu kontrolu pristupa" (MAC). U stvari, AppArmor dopušta Ubuntu-ovim programerima ograničavanje radnji koje procesi mogu poduzeti.
Na primjer, jedna aplikacija koja je ograničena u Ubuntu zadanoj konfiguraciji je Evince PDF preglednik. Iako se Evince može prikazivati kao korisnički račun, može se poduzeti samo određene radnje. Evince ima samo minimalne dozvole potrebne za pokretanje i rad s PDF dokumentima. Ako je otkriveno ranjivost u Evinceovom PDF rendereru i otvorili zlonamjerni PDF dokument koji je preuzeo Evince, AppArmor će ograničiti štetu koju bi Evince mogla učiniti. U tradicionalnom sigurnosnom modelu Linuxa, Evince bi imao pristup svemu što imate. Uz AppArmor, on ima pristup samo onim stvarima koje PDF preglednik treba pristupiti.
AppArmor je osobito koristan za ograničavanje softvera koji se može iskoristiti, kao što je web preglednik ili poslužiteljski softver.
Da biste vidjeli status AppArmor-a, pokrenite sljedeću naredbu na terminalu:
sudo apparmor_status
Vidjet ćete hoće li AppArmor pokrenuti na vašem sustavu (radi se prema zadanim postavkama), AppArmor profili koji su instalirani i ograničeni procesi koji se izvode.
U AppArmoru su procesi ograničeni profilima. Gornji popis nam pokazuje protokole koji su instalirani na sustavu - oni dolaze s Ubuntu. Također možete instalirati i druge profile instalacijom paketa apparmor-profila. Neki paketi - primjerice, poslužiteljski softver - mogu imati vlastite AppArmor profile koji su instalirani na sustav zajedno s paketom. Također možete stvoriti vlastite AppArmor profile za ograničavanje softvera.
Profili se mogu pokrenuti u "načinu žalovanja" ili "načinu prisiljavanja." U načinu provođenja pravila - zadana postavka za profile koji dolaze s Ubuntu - AppArmor sprječava aplikacije da poduzimaju ograničene radnje. U žalbi način, AppArmor omogućuje aplikacijama da poduzmu ograničene radnje i stvara unos zapisnika koji se žali na to. Način prigovora idealan je za testiranje AppArmor profila prije nego što je omogućite u načinu provjere valjanosti - vidjet ćete sve pogreške koje bi se dogodile u načinu provođenja zakona.
Profili su pohranjeni u /etc/apparmor.d direktoriju. Ovi profili su obične tekstualne datoteke koje mogu sadržavati komentare.
Također možete primijetiti da AppArmor dolazi s Firefox profilom - to je usr.bin.firefox datoteka u sustavu /etc/apparmor.d imenik. Prema zadanim postavkama nije omogućen, jer može previše prevladati Firefox i uzrokovati probleme. /etc/apparmor.d/disable mapa sadrži vezu na tu datoteku, što znači da je onemogućen.
Da biste omogućili Firefox profil i ograničili Firefox s AppArmorom, pokrenite sljedeće naredbe:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
mačka /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser -a
Nakon što pokrenete ove naredbe, pokrenite sudo apparmor_status ponovo ćete započeti, a vidjet ćete da su Firefoxi profili sada učitani.
Da biste onemogućili Firefox profil ako uzrokuje probleme, pokrenite sljedeće naredbe:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Detaljnije informacije o korištenju aplikacije AppArmor potražite na službenoj stranici Ubuntu poslužitelja na AppArmoru.
