AppArmor khóa các quá trình dễ bị tổn thương, hạn chế các lỗ hổng bảo mật thiệt hại trong các quá trình này có thể gây ra. AppArmor cũng có thể được sử dụng để khóa Mozilla Firefox để tăng cường bảo mật, nhưng nó không làm điều này theo mặc định.
AppArmor là gì?
AppArmor tương tự như SELinux, được sử dụng mặc định trong Fedora và Red Hat. Trong khi chúng hoạt động khác nhau, cả AppArmor và SELinux đều cung cấp bảo mật “kiểm soát truy cập bắt buộc” (MAC). Thực tế, AppArmor cho phép các nhà phát triển của Ubuntu hạn chế các quy trình hành động có thể thực hiện.
Ví dụ: một ứng dụng bị hạn chế trong cấu hình mặc định của Ubuntu là trình xem PDF Evince. Trong khi Evince có thể chạy như tài khoản người dùng của bạn, nó chỉ có thể thực hiện các hành động cụ thể. Evince chỉ có tối thiểu các quyền hạn cần thiết để chạy và làm việc với các tài liệu PDF. Nếu một lỗ hổng được phát hiện trong trình kết xuất PDF của Evince và bạn đã mở một tài liệu PDF độc hại chiếm quyền điều khiển Evince, AppArmor sẽ hạn chế thiệt hại mà Evince có thể làm. Trong mô hình bảo mật Linux truyền thống, Evince sẽ có quyền truy cập vào mọi thứ bạn có quyền truy cập. Với AppArmor, nó chỉ có quyền truy cập vào những thứ mà trình xem PDF cần truy cập.
AppArmor đặc biệt hữu ích cho việc hạn chế phần mềm có thể bị khai thác, chẳng hạn như trình duyệt web hoặc phần mềm máy chủ.
Xem trạng thái của AppArmor
Để xem trạng thái của AppArmor, hãy chạy lệnh sau trong terminal:
sudo apparmor_status
Bạn sẽ thấy liệu AppArmor có đang chạy trên hệ thống của bạn hay không (nó đang chạy theo mặc định), các cấu hình AppArmor được cài đặt và các quy trình hạn chế đang chạy.
Hồ sơ AppArmor
Trong AppArmor, các quy trình bị hạn chế bởi các cấu hình. Danh sách trên cho chúng ta thấy các giao thức được cài đặt trên hệ thống - những giao thức này đi kèm với Ubuntu. Bạn cũng có thể cài đặt các cấu hình khác bằng cách cài đặt gói apparmor-profiles. Một số gói - phần mềm máy chủ, ví dụ - có thể đi kèm với các cấu hình AppArmor của riêng chúng được cài đặt trên hệ thống cùng với gói. Bạn cũng có thể tạo các cấu hình AppArmor của riêng mình để hạn chế phần mềm.
Hồ sơ có thể chạy trong “chế độ khiếu nại” hoặc “chế độ thực thi”. Trong chế độ thực thi - cài đặt mặc định cho các cấu hình đi kèm với Ubuntu - AppArmor ngăn các ứng dụng thực hiện các hành động bị hạn chế. Trong chế độ khiếu nại, AppArmor cho phép ứng dụng thực hiện các hành động bị hạn chế và tạo một mục nhật ký phàn nàn về điều này. Chế độ khiếu nại lý tưởng để kiểm tra hồ sơ AppArmor trước khi bật chế độ này trong chế độ thực thi - bạn sẽ thấy bất kỳ lỗi nào xảy ra trong chế độ thực thi.
Hồ sơ được lưu trữ trong thư mục /etc/apparmor.d. Các hồ sơ này là các tệp văn bản thuần có thể chứa nhận xét.
Bật AppArmor cho Firefox
Bạn cũng có thể nhận thấy rằng AppArmor đi kèm với một hồ sơ Firefox - đó là usr.bin.firefox tập tin trong /etc/apparmor.d danh mục. Theo mặc định, tính năng này không được bật vì nó có thể hạn chế Firefox quá nhiều và gây ra sự cố. Các /etc/apparmor.d/disable thư mục chứa liên kết đến tệp này, cho biết rằng nó đã bị vô hiệu hóa.
Để kích hoạt cấu hình Firefox và giới hạn Firefox với AppArmor, hãy chạy các lệnh sau:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
Sau khi bạn chạy các lệnh này, hãy chạy sudo apparmor_status một lần nữa và bạn sẽ thấy rằng các cấu hình Firefox hiện đã được tải.
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Để biết thêm thông tin chi tiết về cách sử dụng AppArmor, hãy tham khảo trang Hướng dẫn của Máy chủ Ubuntu chính thức trên AppArmor.
