AppArmor는 Ubuntu 7.10 이후 기본적으로 Ubuntu에 포함 된 중요한 보안 기능입니다. 그러나 백그라운드에서 자동으로 실행되므로 현재 상태와 수행중인 작업을 알지 못할 수 있습니다.
AppArmor는 취약한 프로세스를 잠그고 이러한 프로세스의 보안 취약점으로 인한 피해를 제한합니다. 보안 강화를 위해 AppArmor를 사용하여 Mozilla Firefox를 잠글 수도 있지만 기본적으로는 그렇지 않습니다.
AppArmor 란 무엇입니까?
AppArmor는 기본적으로 Fedora 및 Red Hat에서 사용되는 SELinux와 유사합니다. AppArmor와 SELinux는 서로 다르게 작동하지만 “필수 액세스 제어”(MAC) 보안을 제공합니다. 실제로 AppArmor를 통해 우분투 개발자는 프로세스가 취할 수있는 작업을 제한 할 수 있습니다.
예를 들어, 우분투의 기본 구성에서 제한된 응용 프로그램은 Evince PDF 뷰어입니다. Evince는 사용자 계정으로 실행될 수 있지만 특정 작업 만 수행 할 수 있습니다. Evince는 PDF 문서를 실행하고 작업하는 데 필요한 최소한의 권한 만 가지고 있습니다. Evince의 PDF 렌더러에서 취약점이 발견되어 Evince를 인수 한 악의적 인 PDF 문서를 열면 AppArmor가 Evince가 할 수있는 피해를 제한합니다. 전통적인 Linux 보안 모델에서 Evince는 액세스 권한이있는 모든 항목에 액세스 할 수 있습니다. AppArmor를 사용하면 PDF 뷰어가 액세스해야하는 항목에만 액세스 할 수 있습니다.
AppArmor는 웹 브라우저 나 서버 소프트웨어와 같이 악용 될 수있는 소프트웨어를 제한하는 데 특히 유용합니다.
AppArmor의 상태보기
AppArmor의 상태를 보려면 터미널에서 다음 명령을 실행하십시오.
sudo apparmor_status
시스템에서 AppArmor가 실행 중인지 (기본적으로 실행 중인지), 설치된 AppArmor 프로파일 및 실행중인 제한된 프로세스가 표시됩니다.
AppArmor 프로파일
AppArmor에서 프로세스는 프로파일에 의해 제한됩니다. 위의 목록은 시스템에 설치된 프로토콜을 보여줍니다.이 프로토콜은 Ubuntu와 함께 제공됩니다. apparmor-profiles 패키지를 설치하여 다른 프로파일을 설치할 수도 있습니다. 서버 소프트웨어와 같은 일부 패키지는 패키지와 함께 시스템에 설치된 자체 AppArmor 프로파일과 함께 제공 될 수 있습니다. 고유 한 AppArmor 프로파일을 생성하여 소프트웨어를 제한 할 수도 있습니다.
프로파일은 “불만 모드”또는 “강제 모드”로 실행할 수 있습니다. 강제 모드 – Ubuntu와 함께 제공되는 프로파일의 기본 설정 – AppArmor는 응용 프로그램이 제한된 동작을 수행하지 못하게합니다. 불만 사항 모드에서 AppArmor를 사용하면 애플리케이션이 제한된 조치를 수행하고 이에 대해 불평하는 로그 항목을 작성할 수 있습니다. Complain 모드는 AppArmor 프로파일을 적용 모드에서 테스트하기 전에 테스트하는 데 이상적입니다. 적용 모드에서 발생할 수있는 오류가 표시됩니다.
프로필은 /etc/apparmor.d 디렉토리에 저장됩니다. 이 프로파일은 주석을 포함 할 수있는 일반 텍스트 파일입니다.
Firefox 용 AppArmor 활성화
또한 AppArmor는 Firefox 프로필과 함께 제공됩니다. usr.bin.firefox 에 파일 /etc/apparmor.d 예배 규칙서. Firefox를 너무 많이 제한하고 문제를 일으킬 수 있으므로 기본적으로 사용하도록 설정되어 있지 않습니다. 그만큼 /etc/apparmor.d/disable 폴더에는이 파일에 대한 링크가 포함되어 있으며 사용 중지되었음을 나타냅니다.
Firefox 프로파일을 활성화하고 AppArmor로 Firefox를 제한하려면 다음 명령을 실행하십시오.
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
고양이 /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
이 명령을 실행 한 후 sudo apparmor_status 명령을 다시 누르면 Firefox 프로필이로드 된 것을 볼 수 있습니다.
문제가 발생하는 경우 Firefox 프로필을 비활성화하려면 다음 명령을 실행하십시오.
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
AppArmor 사용에 대한 자세한 내용은 AppArmor의 공식 Ubuntu 서버 안내서 페이지를 참조하십시오.
