الصفحة الرئيسية » howto » ما هو AppArmor وكيف يبقي Ubuntu آمنة؟

    ما هو AppArmor وكيف يبقي Ubuntu آمنة؟

    AppArmor هو ميزة أمان مهمة تم تضمينها بشكل افتراضي مع Ubuntu منذ Ubuntu 7.10. ومع ذلك ، فإنه يعمل في صمت في الخلفية ، لذلك قد لا تكون على علم بما هو عليه وما يفعله.

    يقوم AppArmor بإغلاق العمليات الضعيفة ، مما يؤدي إلى الحد من الثغرات الأمنية في هذه العمليات. يمكن أيضًا استخدام AppArmor لتأمين Mozilla Firefox لزيادة الأمان ، ولكنه لا يقوم بذلك بشكل افتراضي.

    ما هو AppArmor?

    يشبه AppArmor SELinux ، المستخدم بشكل افتراضي في Fedora و Red Hat. في حين أنها تعمل بشكل مختلف ، يوفر كل من AppArmor و SELinux أمان "التحكم الإلزامي في الوصول" (MAC). في الواقع ، يسمح AppArmor لمطوري Ubuntu بتقييد الإجراءات التي يمكن أن تتخذها العمليات.

    على سبيل المثال ، أحد التطبيقات المقيدة في تكوين Ubuntu الافتراضي هو عارض Evince PDF. في حين قد تعمل Evince كحساب المستخدم الخاص بك ، إلا أنه يمكن اتخاذ إجراءات محددة. تتفوق فقط على الحد الأدنى من الأذونات اللازمة للتشغيل والعمل مع مستندات PDF. إذا تم اكتشاف نقطة ضعف في عارض ملف Evince الخاص بك وقمت بفتح وثيقة PDF خبيثة استولت على Evince ، فإن AppArmor سيقيد الضرر الذي يمكن أن يفعله Evince. في نموذج أمان Linux التقليدي ، سيكون لدى Evince إمكانية الوصول إلى كل ما يمكنك الوصول إليه. باستخدام AppArmor ، لا يمكن الوصول إلا إلى الأشياء التي يحتاج إليها عارض PDF للوصول إليها.

    يعد AppArmor مفيدًا بشكل خاص لتقييد البرامج التي قد يتم استغلالها ، مثل متصفح الويب أو برنامج الخادم.

    عرض حالة AppArmor

    لعرض حالة AppArmor ، قم بتشغيل الأمر التالي في جهاز طرفية:

    sudo apparmor_status

    سترى ما إذا كان AppArmor يعمل على نظامك (يتم تشغيله بشكل افتراضي) ، وملفات تعريف AppArmor المثبتة ، والعمليات المحصورة التي تعمل.

    AppArmor Profiles

    في AppArmor ، يتم تقييد العمليات بواسطة ملفات التعريف. توضح القائمة أعلاه لنا البروتوكولات المثبتة على النظام - تأتي هذه مع Ubuntu. يمكنك أيضًا تثبيت ملفات تعريف أخرى عن طريق تثبيت حزمة ملفات apparmor. قد تأتي بعض الحزم - برامج الخادم ، على سبيل المثال - مع ملفات تعريف AppArmor الخاصة بها المثبتة على النظام مع الحزمة. يمكنك أيضًا إنشاء ملفات تعريف AppArmor الخاصة بك لتقييد البرامج.

    يمكن تشغيل الملفات الشخصية في "وضع الشكوى" أو "وضع فرض". في وضع فرض - الإعداد الافتراضي للملفات الشخصية التي تأتي مع أوبونتو - يمنع AppArmor التطبيقات من اتخاذ إجراءات مقيدة. في وضع الشكوى ، يسمح AppArmor للتطبيقات باتخاذ إجراءات مقيدة وإنشاء إدخال سجل يشكو من ذلك. وضع الشكاوى مثالي لاختبار ملف تعريف AppArmor قبل تمكينه في وضع فرض - سترى أي أخطاء قد تحدث في وضع فرض.

    يتم تخزين ملفات التعريف في الدليل /etc/apparmor.d. هذه التوصيفات هي ملفات نصية بسيطة يمكن أن تحتوي على تعليقات.

    تمكين AppArmor لمتصفح فايرفوكس

    قد تلاحظ أيضا أن AppArmor يأتي مع ملف تعريف Firefox - إنه usr.bin.firefox ملف في /etc/apparmor.d دليل. لا يتم تمكينه افتراضيًا ، نظرًا لأنه قد يؤدي إلى تقييد Firefox كثيرًا ويسبب مشاكل. ال /etc/apparmor.d/disable يحتوي المجلد على رابط إلى هذا الملف ، يشير إلى أنه معطّل.

    لتمكين ملف تعريف Firefox وحصر Firefox مع AppArmor ، قم بتشغيل الأوامر التالية:

    sudo rm /etc/apparmor.d/disable/usr.bin.firefox

    cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser -a

    بعد تشغيل هذه الأوامر ، قم بتشغيل sudo apparmor_status الأمر مرة أخرى وسترى أنه يتم الآن تحميل ملفات تعريف Firefox.

    لتعطيل ملف تعريف Firefox إذا كان يسبب مشاكل ، قم بتشغيل الأوامر التالية:

    sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/

    sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox


    لمزيد من المعلومات التفصيلية حول استخدام AppArmor ، راجع صفحة دليل Ubuntu Server الرسمي على AppArmor.