AppArmor - AppArmor

AppArmor
AppArmor logo.svg
Originale forfattere Immunix
Udvikler (er) Oprindeligt af Immunix (1998-2005), derefter af SUSE som en del af Novell (2005-2009) og i øjeblikket af Canonical Ltd (siden 2009).
Første udgivelse 1998 ; 23 år siden ( 1998 )
Stabil udgivelse
3.0.1 / 2. december 2020 ; 8 måneder siden ( 2020-12-02 )
Depot gitlab .com /apparmor
Skrevet i C , Python , C ++ , sh
Operativ system Linux
Type Sikkerhed, Linux Security Modules (LSM)
Licens GNU General Public License
Internet side apparmor .net

AppArmor ("Application Armor") er et Linux-kernelsikkerhedsmodul , der giver systemadministratoren mulighed for at begrænse programmernes muligheder med profiler pr. Program. Profiler kan tillade funktioner som netværksadgang, raw socket -adgang og tilladelse til at læse, skrive eller eksekvere filer på matchende stier. AppArmor supplerer den traditionelle Unix diskretionære adgangskontrol (DAC) model ved at levere obligatorisk adgangskontrol (MAC). Det har været delvist inkluderet i mainline Linux -kernen siden version 2.6.36, og dets udvikling er blevet understøttet af Canonical siden 2009.

detaljer

Udover at manuelt opretter profiler, inkluderer AppArmor en læringstilstand, hvor profilovertrædelser logges, men ikke forhindres. Denne log kan derefter bruges til at generere en AppArmor -profil baseret på programmets typiske adfærd.

AppArmor implementeres ved hjælp af Linux Security Modules (LSM) kerneinterface.

AppArmor tilbydes delvist som et alternativ til SELinux , som kritikere anser for vanskeligt for administratorer at oprette og vedligeholde. I modsætning til SELinux, der er baseret på at anvende etiketter på filer, arbejder AppArmor med filstier. Tilhængere af AppArmor hævder, at det er mindre komplekst og lettere for den gennemsnitlige bruger at lære end SELinux. De hævder også, at AppArmor kræver færre ændringer for at arbejde med eksisterende systemer. For eksempel kræver SELinux et filsystem, der understøtter "sikkerhedsetiketter", og dermed ikke kan levere adgangskontrol til filer, der er monteret via NFS. AppArmor er filsystem-agnostisk.

Andre systemer

AppArmor repræsenterer en af ​​flere mulige tilgange til problemet med at begrænse de handlinger, som installeret software kan tage.

Den SELinux system tager generelt en tilgang svarende til AppArmor. En vigtig forskel, SELinux identificerer filsystemobjekter med inode -nummer i stedet for sti. Under AppArmor kan en utilgængelig fil blive tilgængelig, hvis der oprettes et hårdt link til den. Denne forskel kan være mindre vigtig end den engang var, da Ubuntu 10.10 og senere afbød dette med et sikkerhedsmodul kaldet Yama, som også bruges i andre distributioner. SELinux's inode-baserede model har altid i sig selv nægtet adgang via nyoprettede hårde links, fordi det hårde link ville pege på en utilgængelig inode.

SELinux og AppArmor adskiller sig også markant i, hvordan de administreres, og hvordan de integreres i systemet.

Isolering af processer kan også udføres ved mekanismer som virtualisering; den One Laptop per Child (OLPC) projekt, for eksempel, sandkasse individuelle ansøgninger i letvægts Vserver .

I 2007 blev det forenklede obligatoriske adgangskontrolkerne introduceret.

I 2009 blev en ny løsning kaldet Tomoyo inkluderet i Linux 2.6.30; ligesom AppArmor bruger den også sti-baseret adgangskontrol.

Tilgængelighed

AppArmor blev først brugt i Immunix Linux 1998–2003. På det tidspunkt var AppArmor kendt som SubDomain, en reference til muligheden for, at en sikkerhedsprofil for et specifikt program kan segmenteres i forskellige domæner, som programmet kan skifte mellem dynamisk. AppArmor blev først tilgængelig i SLES og openSUSE og blev først aktiveret som standard i SLES 10 og i openSUSE 10.1.

I maj 2005 erhvervede Novell Immunix og omdøbte SubDomain til AppArmor og begyndte at rense og omskrive kode for inkludering i Linux -kernen. Fra 2005 til september 2007 blev AppArmor vedligeholdt af Novell. Novell blev overtaget af SUSE, der nu er den juridiske ejer af varemærket AppArmor.

AppArmor blev først succesfuldt portet/pakket til Ubuntu i april 2007. AppArmor blev en standardpakke, der startede i Ubuntu 7.10, og kom som en del af udgivelsen af ​​Ubuntu 8.04, som kun beskytter CUPS som standard. Fra Ubuntu 9.04 har flere elementer, f.eks. MySQL, installeret profiler. AppArmor -hærdning fortsatte med at blive forbedret i Ubuntu 9.10, da den leveres med profiler til sin gæstesession, virtuelle libvirt -maskiner, Evince -dokumentfremviser og en valgfri Firefox -profil.

AppArmor blev integreret i oktober 2010, 2.6.36 kernel release.

AppArmor er blevet integreret i Synologys DSM siden 5.1 Beta i 2014.

AppArmor blev aktiveret i Solus Release 3 den 2017/8/15.

AppArmor er som standard aktiveret i Debian 10 (Buster) , udgivet i juli 2019.

AppArmor er tilgængelig i de officielle arkiver til Arch Linux .

Se også

Referencer

eksterne links