Wat is AppArmor en hoe zorgt het ervoor dat Ubuntu veilig blijft?
AppArmor is een belangrijke beveiligingsfunctie die standaard is opgenomen in Ubuntu sinds Ubuntu 7.10. Het werkt echter stil op de achtergrond, dus je bent je misschien niet bewust van wat het is en wat het doet.
AppArmor vergrendelt kwetsbare processen en beperkt de schade die beveiligingslekken in deze processen kunnen veroorzaken. AppArmor kan ook worden gebruikt om Mozilla Firefox te vergrendelen voor een betere beveiliging, maar dit wordt standaard niet gedaan.
Wat is AppArmor?
AppArmor lijkt op SELinux, dat standaard wordt gebruikt in Fedora en Red Hat. Hoewel ze anders werken, bieden AppArmor en SELinux "verplichte toegangscontrole" (MAC) -beveiliging. In feite staat AppArmor de ontwikkelaars van Ubuntu toe om de acties die kunnen worden uitgevoerd te beperken.
Eén applicatie die beperkt is in de standaardconfiguratie van Ubuntu is bijvoorbeeld de Evince PDF-viewer. Hoewel Evince kan worden uitgevoerd als uw gebruikersaccount, kan het alleen specifieke acties uitvoeren. Evince heeft slechts het absolute minimum aan machtigingen die nodig zijn om PDF-documenten uit te voeren en ermee te werken. Als er een kwetsbaarheid is ontdekt in de PDF-renderer van Evince en u hebt een schadelijk PDF-document geopend dat Evince heeft overgenomen, zou AppArmor de schade beperken die Evince kon doen. In het traditionele Linux-beveiligingsmodel zou Evince toegang hebben tot alles waar je toegang toe hebt. Met AppArmor heeft het alleen toegang tot dingen waar een PDF-viewer toegang toe heeft.
AppArmor is met name handig voor het beperken van software die mogelijk wordt misbruikt, zoals een webbrowser of serversoftware.
AppArmor's status bekijken
Om de status van AppArmor te bekijken, voert u de volgende opdracht uit in een terminal:
sudo apparmor_status
U zult zien of AppArmor op uw systeem draait (het draait standaard), de AppArmor-profielen die zijn geïnstalleerd en de ingesloten processen die worden uitgevoerd.
AppArmor-profielen
In AppArmor worden processen beperkt door profielen. De bovenstaande lijst toont ons de protocollen die op het systeem zijn geïnstalleerd - deze worden geleverd met Ubuntu. U kunt ook andere profielen installeren door het pakket apparmor-profiles te installeren. Sommige pakketten - bijvoorbeeld serversoftware - kunnen hun eigen AppArmor-profielen bevatten die samen met het pakket op het systeem zijn geïnstalleerd. U kunt ook uw eigen AppArmor-profielen maken om de software te beperken.
Profielen kunnen worden uitgevoerd in de "complain-modus" of de "enforce-modus". In de handhavingsmodus - de standaardinstelling voor de profielen die bij Ubuntu horen - voorkomt AppArmor dat toepassingen beperkte acties ondernemen. In de klagende modus staat AppArmor toe dat toepassingen beperkte acties ondernemen en hierover een logboekvermelding maken. Klachtmodus is ideaal voor het testen van een AppArmor-profiel voordat het in de afdwingmodus wordt gezet - u zult eventuele fouten zien die zouden optreden in de handhavingsmodus.
Profielen worden opgeslagen in de map /etc/apparmor.d. Deze profielen zijn platte tekstbestanden die opmerkingen kunnen bevatten.
AppArmor inschakelen voor Firefox
Je zult ook opmerken dat AppArmor wordt geleverd met een Firefox-profiel - het is de usr.bin.firefox bestand in de /etc/apparmor.d directory. Het is standaard niet ingeschakeld, omdat het Firefox te veel kan beperken en problemen kan veroorzaken. De /etc/apparmor.d/disable map bevat een link naar dit bestand om aan te geven dat het is uitgeschakeld.
Om het Firefox-profiel in te schakelen en Firefox te beperken met AppArmor, voert u de volgende opdrachten uit:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser -a
Nadat u deze opdrachten hebt uitgevoerd, voert u de sudo apparmor_status commando opnieuw en je zult zien dat de Firefox-profielen nu zijn geladen.
Als u het Firefox-profiel wilt uitschakelen als dit problemen veroorzaakt, voert u de volgende opdrachten uit:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Raadpleeg de officiële Ubuntu Server Guide-pagina op AppArmor voor meer informatie over het gebruik van AppArmor.