AppArmor是一个重要的安全特性,从Ubuntu7.10开始默认包含在Ubuntu中。但是,它在后台无声地运行,因此您可能不知道它是什么以及它在做什么。
AppArmor锁定易受攻击的进程,限制这些进程中的安全漏洞可能造成的损害。AppArmor还可以用来锁定Mozilla Firefox以提高安全性,但它在默认情况下不会这样做。
AppArmor类似于SELinux,默认情况下在Fedora和Red Hat中使用。虽然它们的工作方式不同,但AppArmor和SELinux都提供了“强制访问控制”(mandatory access control,MAC)安全性。实际上,AppArmor允许Ubuntu的开发人员限制进程可以采取的操作。
例如,在Ubuntu的默认配置中被限制的一个应用程序是evincepdfviewer。虽然Evince可以作为您的用户帐户运行,但它只能执行特定操作。Evince只有运行和处理PDF文档所需的最低权限。如果在Evince的PDF呈现程序中发现漏洞,并且您打开了一个恶意的PDF文档,该文档接管了Evince,那么AppArmor将限制Evince可能造成的损害。在传统的Linux安全模型中,Evince可以访问您可以访问的所有内容。使用AppArmor,它只能访问PDF查看器需要访问的内容。
AppArmor特别适用于限制可能被利用的软件,例如web浏览器或服务器软件。
要查看AppArmor的状态,请在终端中运行以下命令:
sudo apparmor_status
您将看到AppArmor是否在您的系统上运行(默认情况下是运行的)、已安装的AppArmor配置文件以及正在运行的受限进程。
在AppArmor中,进程受配置文件的限制。上面的列表向我们展示了安装在系统上的协议——这些协议都是Ubuntu自带的。您还可以通过安装apparmor profiles包来安装其他配置文件。一些软件包(例如服务器软件)可能会附带自己的AppArmor配置文件,这些配置文件与软件包一起安装在系统上。您还可以创建自己的AppArmor配置文件来限制软件。
配置文件可以在“抱怨模式”或“强制模式”下运行。在强制模式下(这是Ubuntu附带的配置文件的默认设置),AppArmor可以防止应用程序执行受限制的操作。在投诉模式下,AppArmor允许应用程序执行受限操作,并创建一个日志条目来投诉。投诉模式非常适合在强制模式下启用AppArmor配置文件之前对其进行测试–您将看到强制模式下可能出现的任何错误。
概要文件存储在/etc/apparmor.d目录中。这些配置文件是可以包含注释的纯文本文件。
您可能还注意到AppArmor附带了一个Firefox配置文件—它是usr.bin.firefox文件文件位于/etc/apparmor.d目录中。它在默认情况下是不启用的,因为它可能会限制Firefox太多并导致问题。/etc/apparmor.d/disable文件夹包含指向此文件的链接,表示该文件已被禁用。
要启用Firefox配置文件并使用AppArmor限制Firefox,请运行以下命令:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
运行完这些命令后,再次运行sudo apparmor\u status命令,您将看到Firefox配置文件现在已加载。
要在Firefox配置文件导致问题时禁用它,请运行以下命令:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
有关使用AppArmor的更多详细信息,请参阅AppArmor上的官方Ubuntu服务器指南页面。
... 但有点不对劲。为什么你不能在Ubuntu中播放dvd?其他Linux发行版呢?这里发生了什么,你能做些什么来修复它? ...
...为所有考虑Ubuntu的人的首选。还需要说服力吗?这就是为什么你应该在你的Linux PC或笔记本电脑上升级或安装Ubuntu18.04 LTS。 ...
...坛和杂志也是一个非常友好的平台来分享你的困难和了解如何使用Fedora及其工具。 ...
...们将描述如何使用Canonical的Livepatch服务来实现这一点。 什么是livepatch及其工作原理(livepatch and how does it work)? 正如Canonical的Dustin Kirkland几年前解释的那样,Canonical Livepatch使用标准Linux内核内置的内核实时补丁技术。Canonical的Liv...