AppArmor 란 무엇이며, 우분투를 안전하게 유지하는 방법은 무엇입니까?
AppArmor는 Ubuntu 7.10 이후에 기본적으로 Ubuntu에 포함 된 중요한 보안 기능입니다. 그러나 백그라운드에서 자동으로 실행되기 때문에 그것이 무엇이고 무엇을하고 있는지를 알지 못할 수도 있습니다.
AppArmor는 취약한 프로세스를 잠그고 이러한 프로세스의 손상 보안 취약성을 야기 할 수 있습니다. AppArmor는 또한 향상된 보안을 위해 Mozilla Firefox를 잠그는 데 사용될 수 있지만 기본적으로이 작업을 수행하지는 않습니다.
AppArmor 란 무엇입니까??
AppArmor는 Fedora 및 Red Hat에서 기본적으로 사용되는 SELinux와 유사합니다. 다른 방식으로 작동하는 동안 AppArmor와 SELinux는 "필수 액세스 제어"(MAC) 보안을 제공합니다. 실제로 AppArmor를 통해 우분투 개발자는 프로세스가 취할 수있는 작업을 제한 할 수 있습니다..
예를 들어, Ubuntu의 기본 구성이 제한되어있는 응용 프로그램 중 하나는 Evince PDF 뷰어입니다. Evince는 사용자 계정으로 실행되지만 특정 작업 만 수행 할 수 있습니다. Evince는 PDF 문서를 실행하고 작업하는 데 필요한 최소한의 권한 만 갖고 있습니다. Evince의 PDF 렌더러에서 취약점이 발견되어 Evince를 인수 한 악성 PDF 문서를 열면 AppArmor가 Evince가 수행 할 수있는 손상을 제한합니다. 기존 Linux 보안 모델에서 Evince는 액세스 권한이있는 모든 항목에 액세스 할 수있었습니다. AppArmor를 사용하면 PDF 뷰어가 액세스해야하는 항목에만 액세스 할 수 있습니다..
AppArmor는 특히 웹 브라우저 또는 서버 소프트웨어와 같이 악용 될 수있는 소프트웨어를 제한하는 데 유용합니다..
AppArmor의 상태보기
AppArmor의 상태를 보려면 터미널에서 다음 명령을 실행하십시오.
sudo apparmor_status
AppArmor가 시스템에서 실행되고 있는지 (기본적으로 실행 중인지), 설치된 AppArmor 프로필 및 실행중인 제한된 프로세스가 표시됩니다.
AppArmor 프로필
AppArmor에서 프로세스는 프로파일에 의해 제한됩니다. 위의 목록은 시스템에 설치된 프로토콜을 보여줍니다.이 프로토콜은 우분투와 함께 제공됩니다. apparmor-profiles 패키지를 설치하여 다른 프로필을 설치할 수도 있습니다. 일부 패키지 (예 : 서버 소프트웨어)는 패키지와 함께 시스템에 설치된 자체 AppArmor 프로필과 함께 제공 될 수 있습니다. 또한 자신의 AppArmor 프로파일을 만들어 소프트웨어를 제한 할 수 있습니다.
프로필은 "complain mode"또는 "enforce mode"에서 실행될 수 있습니다. 적용 모드 - Ubuntu - AppArmor와 함께 제공되는 프로필의 기본 설정은 응용 프로그램이 제한된 작업을 수행하는 것을 방지합니다. 불평 모드에서 AppArmor는 응용 프로그램이 제한된 동작을 취할 수있게하고 이에 대해 불평하는 로그 항목을 만듭니다. 불만 모드는 강제 실행 모드에서 실행하기 전에 AppArmor 프로파일을 테스트하는 데 이상적입니다. 강제 실행 모드에서 발생하는 모든 오류를 볼 수 있습니다.
프로파일은 /etc/apparmor.d 디렉토리에 저장됩니다. 이러한 프로필은 주석을 포함 할 수있는 일반 텍스트 파일입니다..
Firefox 용 AppArmor 활성화
AppArmor에는 Firefox 프로필이 함께 제공됩니다. usr.bin.firefox ~에있는 파일 /etc/apparmor.d 예배 규칙서. Firefox를 너무 많이 제한하여 문제를 일으킬 수 있기 때문에 기본적으로 활성화되어 있지 않습니다. 그만큼 /etc/apparmor.d/disable 폴더에이 파일에 대한 링크가 포함되어있어 해당 파일이 사용 중지되었음을 나타냅니다..
Firefox 프로필을 활성화하고 Firefox를 AppArmor와 함께 제한하려면 다음 명령을 실행하십시오.
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser -a
이러한 명령을 실행 한 후 sudo apparmor_status 명령을 다시 입력하면 Firefox 프로필이로드되었음을 알 수 있습니다..
문제가되는 경우 Firefox 프로필을 비활성화하려면 다음 명령을 실행하십시오.
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
AppArmor 사용에 대한 자세한 내용은 공식 Ubuntu Server Guide의 AppArmor 페이지를 참조하십시오..