Page d'accueil » comment » Qu'est-ce qu'AppArmor et comment maintient-il Ubuntu sécurisé?

    Qu'est-ce qu'AppArmor et comment maintient-il Ubuntu sécurisé?

    AppArmor est une fonctionnalité de sécurité importante incluse par défaut avec Ubuntu depuis Ubuntu 7.10. Cependant, il fonctionne silencieusement en arrière-plan, de sorte que vous pouvez ne pas être au courant de ce que c'est et de ce qu'il fait..

    AppArmor verrouille les processus vulnérables, limitant ainsi les dommages pouvant être causés par les vulnérabilités de sécurité de ces processus. AppArmor peut également être utilisé pour verrouiller Mozilla Firefox pour une sécurité accrue, mais il ne le fait pas par défaut..

    Qu'est-ce que AppArmor??

    AppArmor est similaire à SELinux, utilisé par défaut dans Fedora et Red Hat. Bien qu'ils fonctionnent différemment, AppArmor et SELinux offrent une sécurité de «contrôle d'accès obligatoire» (MAC). En effet, AppArmor permet aux développeurs Ubuntu de limiter les actions que les processus peuvent prendre..

    Par exemple, une application restreinte dans la configuration par défaut d'Ubuntu est le visualiseur de PDF Evince. Evince peut s'exécuter sous votre compte d'utilisateur, mais il ne peut effectuer que des actions spécifiques. Evince ne dispose que du minimum d'autorisations nécessaires pour exécuter et utiliser des documents PDF. Si une vulnérabilité était découverte dans le moteur de rendu de PDF d'Evince et que vous ouvriez un document PDF malveillant prenant le contrôle d'Evince, AppArmor limiterait les dommages que Evince pourrait causer. Dans le modèle de sécurité Linux traditionnel, Evince aurait accès à tout ce à quoi vous avez accès. Avec AppArmor, il n'a accès qu'aux éléments auxquels un visualiseur PDF a besoin d'accéder..

    AppArmor est particulièrement utile pour limiter les logiciels susceptibles d'être exploités, tels que les navigateurs Web ou les logiciels de serveurs..

    Affichage du statut d'AppArmor

    Pour afficher le statut d'AppArmor, exécutez la commande suivante dans un terminal:

    sudo apparmor_status

    Vous verrez si AppArmor est en cours d'exécution sur votre système (il s'exécute par défaut), les profils AppArmor installés et les processus confinés en cours d'exécution..

    Profils AppArmor

    Dans AppArmor, les processus sont limités par des profils. La liste ci-dessus nous montre les protocoles installés sur le système - ceux-ci sont fournis avec Ubuntu. Vous pouvez également installer d'autres profils en installant le package apparmor-profiles. Certains packages - logiciels de serveur, par exemple - peuvent être livrés avec leurs propres profils AppArmor installés sur le système avec le package. Vous pouvez également créer vos propres profils AppArmor pour limiter les logiciels..

    Les profils peuvent s'exécuter en «mode réclamation» ou en «mode d'application». En mode d'application - paramètre par défaut des profils fournis avec Ubuntu - AppArmor empêche les applications de mener des actions restreintes. En mode de plainte, AppArmor permet aux applications de prendre des mesures restreintes et crée une entrée de journal pour se plaindre. Le mode Complain est idéal pour tester un profil AppArmor avant de l'activer en mode d'application - vous verrez toutes les erreurs qui pourraient survenir en mode d'application..

    Les profils sont stockés dans le répertoire /etc/apparmor.d. Ces profils sont des fichiers texte qui peuvent contenir des commentaires..

    Activation de AppArmor pour Firefox

    Vous remarquerez peut-être aussi qu’AppArmor est fourni avec un profil Firefox - c’est le usr.bin.firefox déposer dans le /etc/apparmor.d annuaire. Il n'est pas activé par défaut, car cela pourrait trop restreindre Firefox et causer des problèmes. le /etc/apparmor.d/disable dossier contient un lien vers ce fichier, indiquant qu'il est désactivé.

    Pour activer le profil Firefox et limiter Firefox à AppArmor, exécutez les commandes suivantes:

    sudo rm /etc/apparmor.d/disable/usr.bin.firefox

    cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser -a

    Après avoir exécuté ces commandes, lancez le programme sudo apparmor_status commande à nouveau et vous verrez que les profils Firefox sont maintenant chargés.

    Pour désactiver le profil Firefox s'il pose des problèmes, exécutez les commandes suivantes:

    sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/

    sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox


    Pour plus d'informations sur l'utilisation d'AppArmor, consultez la page officielle du Guide du serveur Ubuntu sur AppArmor..