AppArmor是一个重要的安全特性，从Ubuntu7.10开始默认包含在Ubuntu中。但是，它在后台无声地运行，因此您可能不知道它是什么以及它在做什么。

AppArmor锁定易受攻击的进程，限制这些进程中的安全漏洞可能造成的损害。AppArmor还可以用来锁定Mozilla Firefox以提高安全性，但它在默认情况下不会这样做。

什么是应用程序访问控制系统(apparmor)？

AppArmor类似于SELinux，默认情况下在Fedora和Red Hat中使用。虽然它们的工作方式不同，但AppArmor和SELinux都提供了“强制访问控制”（mandatory access control，MAC）安全性。实际上，AppArmor允许Ubuntu的开发人员限制进程可以采取的操作。

例如，在Ubuntu的默认配置中被限制的一个应用程序是evincepdfviewer。虽然Evince可以作为您的用户帐户运行，但它只能执行特定操作。Evince只有运行和处理PDF文档所需的最低权限。如果在Evince的PDF呈现程序中发现漏洞，并且您打开了一个恶意的PDF文档，该文档接管了Evince，那么AppArmor将限制Evince可能造成的损害。在传统的Linux安全模型中，Evince可以访问您可以访问的所有内容。使用AppArmor，它只能访问PDF查看器需要访问的内容。

AppArmor特别适用于限制可能被利用的软件，例如web浏览器或服务器软件。

查看apparmor的状态

要查看AppArmor的状态，请在终端中运行以下命令：

sudo apparmor_status

您将看到AppArmor是否在您的系统上运行（默认情况下是运行的）、已安装的AppArmor配置文件以及正在运行的受限进程。

apparmor配置文件

在AppArmor中，进程受配置文件的限制。上面的列表向我们展示了安装在系统上的协议——这些协议都是Ubuntu自带的。您还可以通过安装apparmor profiles包来安装其他配置文件。一些软件包（例如服务器软件）可能会附带自己的AppArmor配置文件，这些配置文件与软件包一起安装在系统上。您还可以创建自己的AppArmor配置文件来限制软件。

配置文件可以在“抱怨模式”或“强制模式”下运行。在强制模式下（这是Ubuntu附带的配置文件的默认设置），AppArmor可以防止应用程序执行受限制的操作。在投诉模式下，AppArmor允许应用程序执行受限操作，并创建一个日志条目来投诉。投诉模式非常适合在强制模式下启用AppArmor配置文件之前对其进行测试–您将看到强制模式下可能出现的任何错误。

概要文件存储在/etc/apparmor.d目录中。这些配置文件是可以包含注释的纯文本文件。

为firefox启用apparmor

您可能还注意到AppArmor附带了一个Firefox配置文件—它是usr.bin.firefox文件文件位于/etc/apparmor.d目录中。它在默认情况下是不启用的，因为它可能会限制Firefox太多并导致问题。/etc/apparmor.d/disable文件夹包含指向此文件的链接，表示该文件已被禁用。

要启用Firefox配置文件并使用AppArmor限制Firefox，请运行以下命令：

sudo rm /etc/apparmor.d/disable/usr.bin.firefox

cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a

运行完这些命令后，再次运行sudo apparmor\u status命令，您将看到Firefox配置文件现在已加载。

要在Firefox配置文件导致问题时禁用它，请运行以下命令：

sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/

sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox

有关使用AppArmor的更多详细信息，请参阅AppArmor上的官方Ubuntu服务器指南页面。