AppArmor mengunci proses yang rentan, membatasi kerentanan keamanan kerusakan dalam proses ini dapat menyebabkan. AppArmor juga dapat digunakan untuk mengunci Mozilla Firefox untuk meningkatkan keamanan, tetapi tidak melakukannya secara default.
Apa itu AppArmor?
AppArmor mirip dengan SELinux, digunakan secara default di Fedora dan Red Hat. Sementara mereka bekerja secara berbeda, baik AppArmor dan SELinux menyediakan "keamanan akses kontrol" (MAC) keamanan. Akibatnya, AppArmor memungkinkan pengembang Ubuntu untuk membatasi proses tindakan yang dapat dilakukan.
Misalnya, satu aplikasi yang dibatasi dalam konfigurasi default Ubuntu adalah penampil PDF Evince. Meskipun Evince dapat berjalan sebagai akun pengguna Anda, itu hanya dapat mengambil tindakan tertentu. Evince hanya memiliki minimal izin yang diperlukan untuk menjalankan dan bekerja dengan dokumen PDF. Jika kerentanan ditemukan pada perender PDF Evince dan Anda membuka dokumen PDF berbahaya yang mengambil alih Evince, AppArmor akan membatasi kerusakan yang bisa dilakukan Evince. Dalam model keamanan Linux tradisional, Evince akan memiliki akses ke semua yang dapat Anda akses. Dengan AppArmor, ia hanya memiliki akses ke hal-hal yang dibutuhkan oleh PDF viewer.
AppArmor sangat berguna untuk membatasi perangkat lunak yang dapat dieksploitasi, seperti peramban web atau perangkat lunak server.
Melihat Status AppArmor
Untuk melihat status AppArmor, jalankan perintah berikut di terminal:
sudo apparmor_status
Anda akan melihat apakah AppArmor berjalan di sistem Anda (berjalan secara default), profil AppArmor yang diinstal, dan proses terbatas yang sedang berjalan.
Profil AppArmor
Di AppArmor, proses dibatasi oleh profil. Daftar di atas menunjukkan kepada kita protokol yang diinstal pada sistem - yang ini datang dengan Ubuntu. Anda juga dapat menginstal profil lain dengan menginstal paket apparmor-profiles. Beberapa paket - perangkat lunak server, misalnya - dapat dilengkapi dengan profil AppArmor mereka sendiri yang diinstal pada sistem bersama dengan paket. Anda juga dapat membuat profil AppArmor Anda sendiri untuk membatasi perangkat lunak.
Profil dapat berjalan dalam "mode komplain" atau "menegakkan mode." Dalam mode menegakkan - pengaturan default untuk profil yang datang dengan Ubuntu - AppArmor mencegah aplikasi dari mengambil tindakan yang dibatasi. Dalam mode komplain, AppArmor memungkinkan aplikasi untuk mengambil tindakan terbatas dan membuat entri log yang mengeluhkan hal ini. Mode keluhan sangat ideal untuk menguji profil AppArmor sebelum mengaktifkannya dalam mode penegakan - Anda akan melihat kesalahan apa pun yang akan terjadi dalam mode penegakan.
Profil disimpan di direktori /etc/apparmor.d. Profil ini adalah file teks biasa yang dapat berisi komentar.
Mengaktifkan AppArmor Untuk Firefox
Anda mungkin juga memperhatikan bahwa AppArmor dilengkapi dengan profil Firefox - itu adalah usr.bin.firefox file dalam /etc/apparmor.d direktori. Ini tidak diaktifkan secara default, karena dapat membatasi terlalu banyak Firefox dan menyebabkan masalah. Itu /etc/apparmor.d/disable folder berisi tautan ke file ini, menunjukkan bahwa itu dinonaktifkan.
Untuk mengaktifkan profil Firefox dan membatasi Firefox dengan AppArmor, jalankan perintah berikut:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
Setelah Anda menjalankan perintah ini, jalankan sudo apparmor_status perintah lagi dan Anda akan melihat bahwa profil Firefox sekarang dimuat.
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Untuk informasi lebih detail tentang penggunaan AppArmor, lihat halaman Panduan Server Ubuntu resmi di AppArmor.
