몇 주 전에 저는 AppArmor 강화 도구의 기본 개요를 제공하고 작동 방식을 설명하고 Firefox 브라우저를 제한하고 강화하는 방법에 대한 실용적인 예를 보여주는 기사를 썼습니다. 그러나 기다리십시오. Firefox뿐만 아니라 특히 Mozilla에서 다운로드할 수 있는 tarball 버전입니다. 나는 tar 아카이브에 대해 이야기하고 있습니다. 잡고, 추출하고, 실행하세요.
여태까지는 그런대로 잘됐다. Kubuntu 설치에서 AppArmor 프로필(템플릿)을 사용하여 약간 수정하여 내 홈 디렉터리에서 실행되는 Firefox tar 버전에 대한 사용자 지정 규칙 세트를 만들 수 있었습니다. 다 좋은데 한 가지 문제가 있습니다. 기본적으로 업데이트할 수 없습니다. 지금 수정하겠습니다.
자세한 문제
따라서 다음과 같은 일이 발생합니다. Firefox tar 버전을 사용하는 경우 Windows에서 볼 수 있는 것처럼 자체적으로 자동 업데이트하는 옵션이 있습니다. 기본적으로 브라우저는 업데이트를 받고 다시 시작하면 작업이 완료됩니다. 아무 것도 수동으로 다시 설치할 필요가 없습니다. ~/Firefox/ 등 처음 압축을 푼 곳에서 브라우저를 계속 실행하면 됩니다.
그러나 내 AppArmor 프로필이 있으면 브라우저가 자동 업데이트할 수 없습니다(위의 스크린샷 참조). 업데이트가 있음을 알려주고 수동으로 다운로드할 수 있습니다. 실제로 몇 가지 해결 방법이 있습니다.
- AppArmor 규칙을 제거하면 다음에 브라우저를 다시 시작할 때 Firefox가 자동 업데이트될 수 있습니다. 그러나 이것은 번거롭습니다. 나중에 규칙을 다시 적용해야 합니다.
sudo apparmor_parser -R "Firefox tar 버전 프로필의 이름"
- 수동으로 공식 사이트로 이동하여 새 tarball 아카이브를 다운로드한 다음 이전 아카이브 위에 압축을 풀거나 그냥 압축을 풀고 새 폴더의 모든 파일을 Firefox를 보관하는 위치에 수동으로 복사할 수 있습니다. 이것은 어떤 식으로든 귀하의 Firefox 프로필에 영향을 미치지 않습니다.
tar -xvf "tarball"
cp -ar "tarball 추출 폴더"/* "Firefox 설치 폴더"/
그러나 이것은 (쉬운) 부분 수정일 뿐이며 더 견고한 것을 원합니다.
솔루션
실제 해결 방법은 AppArmor 프로필을 살펴보고 어떤 규칙이 충돌을 일으키는지 이해하는 것입니다. 일반적으로 프로필의 각 줄은 선택적으로 무언가를 허용하거나(예:읽기는 하지만 디렉터리에 쓰지 않음) 특정 리소스에 대한 액세스를 완전히 거부하는 규칙입니다. 명시적으로 작성되지 않은 내용은 프로필에 포함되지 않습니다.
파일의 기본 규칙 중 하나는 Firefox 설치 디렉토리 내의 파일 및 폴더에 대한 쓰기 액세스를 거부하는 것입니다. 이는 Firefox가 시스템 디렉토리에 설치되는 시기와 위치에 기본 프로필에 적합하지만 Firefox를 자체 격리된 위치에 설치하는 경우 반드시 그런 것은 아닙니다.
거부 @{MOZ_LIBDIR}/** w,
이 규칙을 주석 처리하고 Firefox 프로필을 다시 로드하면 작업이 완료됩니다.
sudo apparmor_parser -r "프로필 이름"
결론
작업이 완료되었습니다. 이 작고 간단한 변경은 Firefox tar 버전(뒤)에 자체 업데이트 기능을 제공하는 데 필요한 전부입니다. 이제 매우 보안에 민감한 사람이라면 이것이 좋지 않다거나 그렇지 않다고 말할 수 있으며 필요한 경우 수동 업데이트를 수행해도 괜찮습니다. 당신은 항상 그 속임수에 의지할 수 있습니다. 그러나 약간의 편의성을 원하고 여전히 AppArmor 프로필 강화 작업의 대부분이 작동하는 경우 브라우저가 설치 폴더에 쓸 수 있도록 허용할 수 있습니다. 잠재적인 결과에 유의하십시오.
바라건대, 이 가이드가 이 주제와 관련하여 가졌을 수 있는 몇 가지 질문을 명확히 하거나 설명합니다. 하지만 아직 끝나지 않았습니다. 다음으로 D-Bus, 특히 Firefox가 KDE/Plasma 통합 기능을 사용할 수 있도록 하는 데 필요한 모든 규칙에 대해 이야기하겠습니다. 이것은 아마도 KDE에만 국한된 것처럼 들릴지 모르지만 튜토리얼이 모든 종류의 브라우저 통합 기능에 적용할 수 있을 만큼 충분히 일반적인지 확인하겠습니다. 친애하는 괴짜 여러분.
건배.