Информационная безопасность. AppArmor и Tor Browser
Life-Hack [Жизнь-Взлом]/ХакингAppArmor - программный инструмент упреждающей защиты, основанный на политиках безопасности (известных также как профили), которые определяют, к каким системным ресурсам и с какими привилегиями может получить доступ то или иное приложение. В AppArmor включён набор стандартных профилей, а также инструменты статического анализа и инструменты, основанные на обучении, позволяющие ускорить и упростить построение новых профилей.
Проще говоря он разрешает программам выполнять определённые команды, остальное запрещает. Например разрешает браузеру доступ к интернету, файловой папке предназначенной именно ей, больше никуда не давая доступ. Он изолирует программы друг от друга в так называемые песочницы из которых нельзя будет видеть файлы другой программы. Такое поведение отсекает хакерскую атаку, когда взломщик через одну уязвимую программу может получить доступ к другим программам и украсть из них данные. Представьте когда вы скачали файл сидя в Tor Browser, открыли файл в VLC либо Adobe. Если это был вирус, он может узнать ваш реальный ip адрес. Нужно запретить доступ к сети программам которым он ни к чему.
Если посадить Tor Browser в песочницу, получим ещё более защищённый браузер. По умолчанию AppArmor не дружит с TorBrowser Launcher, вы его не сможете запустить в защищенном режиме, причины не были известны. В интернете пишут про исключение Tor браузера из защиты AppArmor. Меня такое дело не устраивало, поэтому начал копать к сути проблемы и у меня это вышло.
Выполняем команды в терминале из под рута:
apt install apparmor-utils apparmor-profiles-extra apparmor-profiles apparmor-easyprof apparmor-notify build-essential dh-python python3-all python3-stdeb python3-pyqt5 python3-gpg python3-requests python3-socks gnupg2 tor
-
git clone https://github.com/micahflee/torbrowser-launcher.git
-
cd torbrowser-launcher
-
./build_deb.sh
-
dpkg -i deb_dist/torbrowser-launcher_*.deb
-
nano /etc/apparmor.d/torbrowser.Browser.firefox
Находим строчки с надписью:
owner @{torbrowser_home_dir}
Добавляем внизу новую строчку:
owner @{torbrowser_home_dir}/TorBrowser/Tor/libstdc++/libstdc++.so.6 ix,
7. Включаем AppArmor.
systemctl start apparmor.service && systemctl enable apparmor.service
После команды начнёт работу AppArmor со стандартными настройками в которых TorBrowser работает в защищённом режиме. AppArmor имеет два режима работы Complain и Enforce. Complain ничего не запрещает, а лишь записывает логи в файл /var/log/messages, а Enforce включает режим защиты. Проверить работу можно командой:
aa-status
Там отобразится список с названиями, в строке Profiles are in enforce mode как раз и должен находится torbrowser_firefox и torbrowser_tor.
Всё готово, теперь можно запускать Tor Browser.