Aktualizoval se AppArmor v Linuxu: co to je a musíte to řešit?

NÁVODY > KATEGORIE > Firewall a zabezpečení Linuxu

13.04.2026

Když se v seznamu aktualizací objeví AppArmor, může to na první pohled působit jako něco složitého a „správcovského“. Ve skutečnosti jde o běžnou součást zabezpečení systému, která pracuje hlavně na pozadí. V Ubuntu je AppArmor standardně nainstalovaný a načtený už ve výchozím stavu, takže jeho aktualizace obvykle znamená normální údržbu systému, ne důvod k obavám.

Úvodní obrázek k tématu AppArmor v Linuxu: notebook s terminálem, maskot Linuxu Tux, zelený bezpečnostní štít se zámkem a text „Aktualizoval se AppArmor v Linuxu: co to je a musíte to řešit?“.

Rychlá navigace:

Co je AppArmor

AppArmor je bezpečnostní mechanismus v Linuxu, který omezuje, co konkrétní program smí dělat. Nepracuje tedy jen s tím, kdo je přihlášený uživatel, ale hlavně s tím, jaká oprávnění má samotná aplikace. Jeho model je postavený na profilech pro jednotlivé programy a doplňuje klasická unixová oprávnění o další vrstvu ochrany. Ubuntu jej popisuje jako systém Mandatory Access Control (MAC), tedy povinného řízení přístupu.

Jednoduše řečeno: i když se nějaký program spustí, AppArmor může rozhodnout, že nesmí číst určité soubory, nesmí otevřít síťové spojení, nesmí spouštět jiné programy nebo nesmí získat některá vyšší oprávnění. Tím snižuje riziko, že chyba v aplikaci nebo její napadení poškodí zbytek systému.

K čemu AppArmor slouží v praxi

AppArmor může omezit přístup k souborům a adresářům, práci se sítí, spouštění dalších aplikací, používání vybraných schopností jádra, komunikaci mezi procesy nebo třeba použití ptrace. To znamená, že program dostane jen taková oprávnění, která skutečně potřebuje ke své práci, a nic navíc.

Právě v tom spočívá jeho důležitost. Ubuntu AppArmor výslovně doporučuje, protože pomáhá omezit přístup běžícího softwaru k systému a snižuje škody i v případě, že je aplikace chybová nebo kompromitovaná. Z pohledu bezpečnosti je tedy AppArmor důležitý. Z pohledu běžného domácího uživatele ale nejde o něco, co by bylo potřeba denně obsluhovat.

Nastavuje se sám, nebo ho musíte řešit ručně?

Ve většině případů se AppArmor nastavuje sám jako součást systému. V Ubuntu je načtený už po instalaci a jednotlivé balíčky mohou dodávat vlastní profily. Další profily jsou k dispozici i v samostatných balíčcích. Samotné profily jsou uložené v adresáři /etc/apparmor.d/.

Pro běžného uživatele z toho plyne jednoduchý závěr: pokud všechno funguje, není potřeba do AppArmoru zasahovat. Není to něco, co by začátečník musel po instalaci Linuxu ručně ladit. AppArmor má sice nástroje pro přepínání režimů, vytváření a úpravu profilů, ale to už je spíš práce pro pokročilejší uživatele, správce systému nebo pro řešení konkrétního problému.

Co znamenají režimy enforce a complain

Profily AppArmoru mohou běžet v různých režimech. Režim enforce pravidla skutečně vynucuje. Režim complain porušení pravidel jen zapisuje do logu, ale neblokuje je. Ten se hodí hlavně při testování a ladění profilů. Pro běžného uživatele je důležité vědět hlavně to, že pokud je profil v režimu enforce, AppArmor opravdu chrání daný program podle nastavených pravidel.

Má běžný uživatel AppArmor vůbec sledovat?

Ano, ale jen okrajově. Je dobré vědět, že AppArmor existuje a že je součástí zabezpečení systému. Není ale nutné jej průběžně kontrolovat jen proto, že se objevil v aktualizacích. Pro domácí použití stačí vědět, že funguje jako „tichý hlídač“ na pozadí.

Smysl má AppArmor řešit hlavně ve chvíli, kdy po aktualizaci nebo po instalaci nějakého programu něco přestane fungovat a není jasné proč. V takové situaci může být jednou z příčin právě to, že AppArmor dané aplikaci něco blokuje. Ubuntu dokumentace uvádí, že zamítnuté přístupy lze hledat v dmesg nebo v logu, který sbírá zprávy jádra.

Tři bezpečné příkazy, které se hodí znát

Pro běžnou kontrolu stačí tři příkazy, které nic nepřenastavují a jen ukazují stav:

bash


						systemctl status apparmor --no-pager

Tím ověříte, že běží samotná služba AppArmoru. U zdravého systému bývá stav active (exited) nebo podobně bez chyby. Ubuntu dokumentace výslovně pracuje se službou apparmor.service.

bash


						sudo apparmor_status

Tento příkaz zobrazí, zda je AppArmor načtený, kolik má aktivních profilů a kolik jich běží v režimech enforce nebo complain. Ubuntu jej uvádí jako základní příkaz pro zjištění stavu AppArmoru.

bash


						sudo journalctl -b -k | grep 'apparmor="DENIED"'

Tento příkaz je praktický při řešení potíží. Vyfiltruje z aktuálního startu systému záznamy, ve kterých AppArmor něco odmítl. Jako první rychlá kontrola dává velký smysl. Když nic nevrátí a program funguje normálně, není obvykle co řešit.

Co jako začátečník raději nedělat

AppArmor není dobrý nápad vypínat jen proto, že nevíte, co přesně dělá. Stejně tak nemá smysl bez důvodu přepínat profily do jiných režimů nebo upravovat soubory v /etc/apparmor.d/. Dokud systém a programy fungují normálně, je lepší AppArmor nechat pracovat tak, jak jej nastavila distribuce. Tím získáte další bezpečnostní vrstvu bez toho, abyste museli něco ručně spravovat.

Shrnutí

AppArmor je důležitá bezpečnostní vrstva Linuxu, ale pro běžného uživatele není důležitý tím, že by ho musel ručně nastavovat. Důležitý je tím, že tiše chrání systém na pozadí. Je proto dobré vědět, že existuje, nevypínat ho bez důvodu a v případě problémů zkontrolovat, zda v logu nevypisuje DENIED. To je pro začátečníka ten nejpraktičtější přístup.

Zdroje

Ubuntu Security Documentation – AppArmor: oficiální popis možností AppArmoru a typů omezení.

https://documentation.ubuntu.com/security/security-features/privilege-restriction/apparmor/

Ubuntu Server Documentation – AppArmor: oficiální návod, režimy profilů, umístění profilů, běžné příkazy a ladění problémů.

https://ubuntu.com/server/docs/how-to/security/apparmor/

Ubuntu Security Documentation – Privilege restriction: potvrzení, že AppArmor je v Ubuntu výchozí mechanismus MAC.

https://documentation.ubuntu.com/security/security-features/privilege-restriction/

Ubuntu man page: apparmor(7): stručný technický popis principu, že AppArmor váže pravidla na programy, ne na uživatele.

https://manpages.ubuntu.com/manpages/noble/en/man7/apparmor.7.html

Ubuntu Server Documentation – Security suggestions: doporučení AppArmoru jako důležité bezpečnostní vrstvy pro omezení škod při kompromitaci aplikace.

https://ubuntu.com/server/docs/explanation/security/security_suggestions/

PODPOŘTE OTEVŘENÉ NÁVODY A DALŠÍ ROZVOJ WEBU LINUX PRO DOMÁCNOST:

Věřím v otevřené znalosti a v to, že kvalitní návody mají být dostupné bez reklam, rušivých prvků a zbytečného trackingu. Každý článek na webu Linux pro domácnost vzniká na základě rešerše, praktického testování na reálném nebo virtuálním počítači, ověřování v různých linuxových distribucích a pečlivého zpracování krok za krokem. Často jde o práci na několik hodin, někdy i několik dnů.

Pokud Vám některý návod pomohl, ušetřil čas nebo usnadnil řešení problému, budu rád za dobrovolnou finanční podporu. A pokud se Vám myšlenka tohoto webu líbí a chcete jeho tvorbu podporovat pravidelně, podívejte se prosím na stránku:

„SPONZOŘI webu LINUX pro DOMÁCNOST“.