- A+
Ubuntu 7中,
AppArmor是Ubuntu的默认安全功能。10.然而,它在后台静默运行,所以你可能不知道它是什么,它在做什么。
AppArmor锁定易受攻击的进程,限制这些进程可能导致的安全漏洞受损。AppArmor也可用于锁定Mozilla Firefox以提高安全性,但默认情况下不会这样做。
什么是AppArmor?
AppArmor类似于SELinux,默认情况下在Fedora和Red Hat中使用。虽然它们的工作方式不同,AppArmor和SELinux都提供了“强制访问控制”(MAC)安全性。实际上,AppArmor允许Ubuntu的开发人员限制进程可以采取的行动。
例如,一个在Ubuntu的默认配置中受限制的应用程序是Evince PDF查看器。Evince可以作为您的用户帐户运行,但只能采取特定的操作。Evince仅具有运行和使用PDF文档所需的最低权限。如果Evince的PDF渲染器中发现了一个漏洞,并且您打开了一个接管Evince的恶意PDF文档,AppArmor将限制Evince可以执行的操作。在传统的Linux安全模型中,Evince可以访问您可以访问的所有内容。使用AppArmor,它只能访问PDF查看器需要访问的内容。
AppArmor对于限制可能被利用的软件(如Web浏览器或服务器软件)特别有用。
查看AppArmor的状态
要查看AppArmor的状态,请在terminal:
中运行以下命令
sudo apparmor_status
您将看到AppArmor是否在您的系统上运行(默认情况下正在运行),安装的AppArmor配置文件以及正在运行的受限进程。
AppArmor配置文件12 App34在AppArmor中,进程受配置文件的限制。上面的列表显示了我们在系统上安装的协议 - 这些协议是随Ubuntu一起提供的。您还可以通过安装apparmor-profiles软件包来安装其他配置文件。某些软件包 - 例如服务器软件 - 可能会随自带的AppArmor配置文件一起安装在系统中以及该软件包。您还可以创建自己的AppArmor配置文件来限制软件。
Profile可以以“抱怨模式”或“强制模式”运行。“在执行模式下 - Ubuntu - AppArmor附带配置文件的默认设置可防止应用程序采取有限的操作。在抱怨模式下,AppArmor允许应用程序采取受限制的操作,并创建一个日志条目。投诉模式是在强制模式启用AppArmor配置文件之前测试的理想选择 - 您将看到在强制模式下会发生的任何错误。
Profile存储在/ etc / apparmor中。d目录。这些配置文件是可以包含注释的纯文本文件。
启用AppArmor For Firefox
您可能还会注意到,AppArmor附带了一个Firefox配置文件 - 这是usr。完事。firefox文件在/ etc / apparmor中。d目录。默认情况下不启用,因为它可能会限制Firefox太多并导致问题。/ etc / apparmor。d / disable文件夹包含指向该文件的链接,表示已禁用。
要启用Firefox配置文件并将Firefox与AppArmor绑定,请运行以下命令:
sudo rm / etc / apparmor。D /禁用/ USR。完事。firefox
cat / etc / apparmor。D / USR。完事。firefox | sudo apparmor_parser -a
运行这些命令后,再次运行sudo apparmor_status命令,您将看到现在加载了Firefox配置文件。
要禁用Firefox配置文件导致问题,请运行以下命令:
sudo ln -s / etc / apparmor。D / USR。完事。firefox / etc / apparmor。D /禁用/
sudo apparmor_parser -R / etc / apparmor。D / USR。完事。firefox
有关使用AppArmor的更多详细信息,请参阅AppArmor上的官方Ubuntu服务器指南页面。
."
