יש לך כנראה שמעו על AppArmor בעת התקנת אובונטו, אבל מאז זה לא יישום שמופיע בתפריט יישומים וזה לא מופיע בשום צורה גרפית, רובכם כנראה אין לי מושג מה זה עושה ולמה זה חיוני עבור המערכת שלך. בקיצור, AppArmor הוא מודול אבטחה המגביל תוכניות בודדות קבוצה של קבצים המפורטים ויכולות כך שהם לא לזרוע הרס על המערכת שלך.

מה זה AppArmor?

AppArmor היא מערכת בקרת גישה מאלצת (MAC) המגבילה תוכניות למספר מוגבל של משאבים. זה מגביל תוכניות קבוצה של קבצים, תכונות ויכולות כך שהוא לא יכול להיכנס עמוק לתוך המערכת ואת להמיט הרס (אלא אם כן ניתנה רשות). במקום מודל UAC של Windows שנותן שליטה למשתמשים, AppArmor מחייב את תכונות בקרת הגישה לתוכנית עצמה.

כיצד עובד AppArmor

AppArmor עובד ברמת הקרנל והוא נטען במהלך האתחול. הדרך שבה AppArmor לטפל בהרשאה היא באמצעות פרופילים. פרופילים היא קבוצה של כללים הקובעת מה התוכנית יכולה ולא יכולה לעשות. ישנם שני מצבים כי פרופילים יכול לרוץ: אכיפה להתלונן . מצב האכיפה הוא אכיפה קפדנית של המדיניות המוגדרת בפרופיל וכן ניסיונות להפרת מדיניות הדיווח. מצב התלונה ידווח רק על ניסיונות להפרת המדיניות, אך אינו אוכף את המדיניות. רוב הפרופילים נטענים במצב אכיפה, אם כי יכול להיות מספר רב של פרופילים של צדדים שלישיים אשר נטענים במצב תלונה גם כן.

בדיקת מצב AppArmor שלך

אם אתה משתמש באובונטו 7.04 ומעלה, AppArmor מותקן כברירת מחדל ונטען בעת ​​אתחול המחשב. כדי לבדוק את מצב AppArmor, הקלד את הפקודה הבאה במסוף:

 סודו

זה מה שתראו:

במערכת שלי, אתה יכול לראות כי יש 17 פרופילים נטענים במצב אכיפה ו 4 תהליכים הפועלים כרגע נאכפים על ידי AppArmor.

איתור פרופילים של AppArmor מושבתים

בנוסף לפרופילים שפועלים בעת אתחול, קיימים מספר פרופילים הזמינים אך מושבתים כברירת מחדל. ניתן לבדוק אותם בתיקייה "/etc/apparmor.d/disable". מכאן, ניתן לראות כי הפרופילים של Firefox ו- Rsyslogd אינם מופעלים.

הפרופיל של Firefox היה כנראה מושבת משום שהוא מוביל לירידה בביצועים ב- Firefox, אבל אם אתה אוהב להפעיל את הפרופיל על מנת שתוכל לגלוש באינטרנט בשלום יותר, כך תוכל לעשות זאת.

פתח מסוף והקלד:

 sudo aa-enforce /etc/apparmor.d/usr.bin.firefox

כדי להשבית אותה שוב:

 sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/ sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox

כיצד נראה פרופיל AppArmor?

בעוד פרופילים נשמע כמו מודול תוכנה מסובך, זה בעצם קובץ טקסט פשוט עם נתיבי קובץ כלולים לציין אילו תיקיות וספריות היישום יכול לגשת. זה איך את הפרופיל eVince נראה (אתה יכול בקלות ללחוץ על כל פרופיל בתיקייה "/etc / apparmor.d" לפתוח אותו עורך הטקסט שלך).

יצירת פרופילים משלך יישום נעילה

אובונטו עשתה עבודה די טובה כדי להגן עליך, אבל אם אתה רוצה להגביל יישום מותאם אישית שאינו מוגן על ידי אובונטו, אתה יכול ליצור פרופיל משלך כדי לנעול את היישום. זה שימושי במיוחד במצב שרת שבו יישומים רבים פועלים ברקע שבו אתה לא יכול לראות את זה.

הערה : לפני שתיצור פרופילים משלך, מומלץ לבדוק תחילה את ספריית הפרופילים של AppArmor הקיימת כדי לבדוק אם הפרופיל של היישום שלך זמין. ניתן גם להתקין " apparmor-profiles " כדי לקבל רשימה נוספת של פרופילים.

כדי ליצור פרופילי AppArmor שלך, עליך להתקין תחילה "apparmor-utils".

 sudo apt- קבל להתקין apparmor-utils

לאחר ההתקנה, הפעל את הפקודה הבאה כדי להפעיל את הפרופילים:

 sudo aa-genprof / נתיב / אל / יישום

שבו "/ path / to / application" הוא נתיב הקובץ ליישום הרצוי. ברירת המחדל של תיקיית היישום היא "/ usr / bin", אבל זה יכול להיות שונה בהתאם ליישום.

הבא, (עוזב את המסוף פועל) להפעיל את היישום שאתה הולך פרופיל. לדוגמה, אני משתמש Krita. השתמש ביישום כפי שאתה עושה בדרך כלל בכל יום אחר.

עבור כל פעולה שאתה מבצע ביישום, חזור אל הטרמינל ולחץ על "Shift + s" כדי לקבל את זה כדי לסרוק את השינויים.

מכאן, ניתן לראות את הנתיב שבו היישום ניגש ואת חומרת הפעולה. לאחר מכן תוכל "אפשר (A)" או "דחה (D)" את הפעולה.

תמשיכו לעשות את זה עד סוף הפעולות שבוצעו על היישום. כדי לקבל את התוצאה הטובה ביותר, עדיף לך לתכנן את רשימת הפעולות לפני שתתחיל את פרופיל.

לבסוף, בסיום, לחץ על "Shift + F" כדי לסיים את הפרופיל ו "Shift + s" כדי לשמור את הפרופיל.

לאחר שנוצר, הפרופיל יישמר בתיקייה "/etc / apparmor.d" ו יוטען במצב אכיפה.

עריכת פרופילים

כדי לערוך את הפרופיל החדש שנוצר, השתמש בפקודה הבאה:

 sudo aa-logprof / נתיב / אל / יישום

לאחר מכן AppArmor יסרוק את רשומות היומן ומאפשר לך לבצע שינויים בפרופיל.

עצירה והפעלה מחדש של AppArmor

בגלל כמה סיבות שאתה צריך לעצור או להפעיל מחדש AppArmor, אתה יכול בקלות לעשות את זה עם

 suodo שירות ערעור לעצור #stop Apparmor

ו

 שירות מחדש suodo מחדש מחדש #

לקבלת מידע נוסף על AppArmor, בדוק את דף אובונטו AppArmor.

תמונה אשראי: אביר ב שריון שריון