AppArmor คืออะไรและมันทำให้ Ubuntu ปลอดภัยได้อย่างไร
AppArmor เป็นคุณลักษณะด้านความปลอดภัยที่สำคัญซึ่งรวมอยู่ใน Ubuntu เป็นค่าเริ่มต้นตั้งแต่ Ubuntu 7.10 อย่างไรก็ตามมันจะทำงานเงียบ ๆ ในพื้นหลังดังนั้นคุณอาจไม่ทราบว่ามันคืออะไรและกำลังทำอะไรอยู่.
AppArmor ล็อคกระบวนการที่มีช่องโหว่การ จำกัด ช่องโหว่ความปลอดภัยที่เสียหายในกระบวนการเหล่านี้อาจทำให้เกิด AppArmor ยังสามารถใช้เพื่อล็อค Mozilla Firefox เพื่อเพิ่มความปลอดภัย แต่ก็ไม่ได้ทำตามค่าเริ่มต้น.
AppArmor คืออะไร?
AppArmor คล้ายกับ SELinux ซึ่งใช้เป็นค่าเริ่มต้นใน Fedora และ Red Hat ในขณะที่ทำงานแตกต่างกันทั้ง AppArmor และ SELinux ให้การรักษาความปลอดภัย“ บังคับควบคุมการเข้าถึง” (MAC) AppArmor ช่วยให้นักพัฒนาของ Ubuntu สามารถ จำกัด กระบวนการดำเนินการที่ทำได้.
ตัวอย่างเช่นแอปพลิเคชันหนึ่งที่ถูก จำกัด ในการกำหนดค่าเริ่มต้นของ Ubuntu คือเครื่องมือดู Evince PDF แม้ว่า Evince อาจทำงานเป็นบัญชีผู้ใช้ของคุณ แต่สามารถดำเนินการบางอย่างได้เท่านั้น Evince มีสิทธิ์ขั้นต่ำเปลือยเท่านั้นที่จำเป็นในการเรียกใช้และทำงานกับเอกสาร PDF หากพบช่องโหว่ในตัวแสดง PDF ของ Evince และคุณเปิดเอกสาร PDF ที่เป็นอันตรายที่เข้ามาแทนที่ Evince AppArmor จะจำกัดความเสียหายที่ Evince ทำได้ ในรูปแบบความปลอดภัย Linux ดั้งเดิม Evince จะสามารถเข้าถึงทุกสิ่งที่คุณสามารถเข้าถึงได้ ด้วย AppArmor จะสามารถเข้าถึงสิ่งต่าง ๆ ที่โปรแกรมดู PDF ต้องการเข้าถึงเท่านั้น.
AppArmor มีประโยชน์อย่างยิ่งสำหรับการ จำกัด ซอฟต์แวร์ที่อาจถูกนำไปใช้ประโยชน์เช่นเว็บเบราว์เซอร์หรือซอฟต์แวร์เซิร์ฟเวอร์.
การดูสถานะของ AppArmor
ในการดูสถานะของ AppArmor ให้เรียกใช้คำสั่งต่อไปนี้ในเทอร์มินัล:
sudo apparmor_status
คุณจะเห็นว่า AppArmor กำลังทำงานอยู่บนระบบของคุณ (มันทำงานโดยค่าเริ่มต้น), โปรไฟล์ AppArmor ที่ติดตั้งและกระบวนการที่ จำกัด ที่กำลังทำงานอยู่.
โปรไฟล์ AppArmor
ใน AppArmor กระบวนการถูก จำกัด โดยส่วนกำหนดค่า รายการข้างต้นแสดงให้เราเห็นถึงโปรโตคอลที่ติดตั้งบนระบบ - อันนี้มาพร้อมกับ Ubuntu คุณยังสามารถติดตั้งโปรไฟล์อื่น ๆ ได้โดยติดตั้งแพคเกจ apparmor-profiles ตัวอย่างบางแพ็คเกจ - ซอฟต์แวร์เซิร์ฟเวอร์ - อาจมาพร้อมกับโปรไฟล์ AppArmor ของตนเองที่ติดตั้งในระบบพร้อมกับแพ็คเกจ คุณยังสามารถสร้างโปรไฟล์ AppArmor ของคุณเองเพื่อ จำกัด ซอฟต์แวร์.
โปรไฟล์สามารถเรียกใช้ใน“ โหมดบ่น” หรือ“ โหมดบังคับใช้” ในโหมดบังคับใช้ - การตั้งค่าเริ่มต้นสำหรับโปรไฟล์ที่มาพร้อมกับ Ubuntu - AppArmor ป้องกันแอปพลิเคชันจากการกระทำที่ถูก จำกัด ในโหมดบ่น AppArmor อนุญาตให้แอปพลิเคชันทำการกระทำที่ จำกัด และสร้างรายการบันทึกบ่นเกี่ยวกับเรื่องนี้ โหมดการร้องเรียนเหมาะสำหรับการทดสอบโปรไฟล์ AppArmor ก่อนที่จะเปิดใช้งานในโหมดการบังคับใช้ - คุณจะเห็นข้อผิดพลาดที่จะเกิดขึ้นในโหมดการบังคับใช้.
โปรไฟล์ถูกเก็บไว้ในไดเร็กทอรี /etc/apparmor.d โปรไฟล์เหล่านี้เป็นไฟล์ข้อความธรรมดาที่สามารถมีความคิดเห็น.
การเปิดใช้งาน AppArmor สำหรับ Firefox
คุณอาจสังเกตเห็นว่า AppArmor มาพร้อมกับโปรไฟล์ Firefox ซึ่งเป็น usr.bin.firefox ไฟล์ใน /etc/apparmor.d ไดเรกทอรี ไม่ได้เปิดใช้งานตามค่าเริ่มต้นเนื่องจากอาจ จำกัด Firefox มากเกินไปและทำให้เกิดปัญหา /etc/apparmor.d/disable โฟลเดอร์มีลิงก์ไปยังไฟล์นี้ซึ่งระบุว่าปิดใช้งานอยู่.
หากต้องการเปิดใช้งานโปรไฟล์ Firefox และ จำกัด Firefox ด้วย AppArmor ให้เรียกใช้คำสั่งต่อไปนี้:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser -a
หลังจากที่คุณเรียกใช้คำสั่งเหล่านี้เรียกใช้ sudo apparmor_status สั่งอีกครั้งและคุณจะเห็นว่าโหลดโปรไฟล์ Firefox แล้ว.
หากต้องการปิดการใช้งานโปรไฟล์ Firefox หากเป็นปัญหาให้เรียกใช้คำสั่งต่อไปนี้:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
สำหรับข้อมูลโดยละเอียดเพิ่มเติมเกี่ยวกับการใช้ AppArmor ดูที่หน้าคู่มือ Ubuntu Server ทางการใน AppArmor.