Автор (ы) | Immunix |
---|---|
Разработчик (и) | Первоначально Immunix (1998-2005), затем SUSE как часть Novell (2005-2009), и в настоящее время Canonical Ltd (с 2009 г.) |
Первоначальный выпуск | 1998 г.; 22 года назад (1998 г.) |
Стабильный выпуск | 2.13.2 / 21 декабря 2018 г.; 21 месяц назад (21.12.2018) |
Репозиторий | gitlab.com / apparmor |
Написано на | Python, C, C ++, sh |
Операционная система | Linux |
Тип | Безопасность, Модули безопасности Linux (LSM) |
Лицензия | Стандартная общественная лицензия GNU |
AppArmor («Защита приложений») - это Ядро Linux модуль безопасности, который позволяет системному администратору ограничивать возможности программ с помощью профилей программ. Профили могут предоставлять такие возможности, как доступ к сети, доступ к необработанным сокетам и разрешение на чтение, запись или выполнение файлов по совпадающим путям. AppArmor дополняет традиционную модель дискреционного управления доступом (DAC) Unix , предоставляя обязательный контроль доступа (MAC). Он был частично включен в основное ядро Linux, начиная с версии 2.6.36, и его разработка поддерживалась Canonical с 2009 года.
В дополнение к ручному созданию профилей, AppArmor включает режим обучения, в котором нарушения профиля регистрируются, но не помешало. Затем этот журнал можно использовать для создания профиля AppArmor на основе типичного поведения программы.
AppArmor реализован с использованием интерфейса ядра Linux Security Modules (LSM).
AppArmor частично предлагается как альтернатива SELinux, которую критики считают сложной для администраторов в настройке и обслуживании. В отличие от SELinux, который основан на применении меток к файлам, AppArmor работает с путями к файлам. Сторонники AppArmor утверждают, что он менее сложен и легче для освоения обычным пользователем, чем SELinux. Они также утверждают, что AppArmor требует меньше модификаций для работы с существующими системами. Например, SELinux требует файловой системы, которая поддерживает «метки безопасности», и поэтому не может обеспечивать контроль доступа к файлам, смонтированным через NFS. AppArmor не зависит от файловой системы.
AppArmor представляет собой один из нескольких возможных подходов к проблеме ограничения действий, которые может выполнять установленное программное обеспечение.
Система SELinux обычно использует подход, аналогичный AppArmor. Одно важное отличие: SELinux идентифицирует объекты файловой системы по номеру inode вместо пути. В AppArmor недоступный файл может стать доступным, если на него будет создана жесткая ссылка . Это различие может быть менее важным, чем когда-то, поскольку Ubuntu 10.10 и более поздние версии смягчают это с помощью модуля безопасности под названием Yama, который также используется в других дистрибутивах. Модель SELinux, основанная на inode, всегда изначально запрещала доступ через вновь созданные жесткие ссылки, потому что жесткая ссылка указывала бы на недоступный inode.
SELinux и AppArmor также существенно различаются по способам администрирования и интеграции в систему.
Изоляция процессов также может быть достигнута с помощью таких механизмов, как виртуализация; Например, проект «Один ноутбук на ребенка » (OLPC) помещает отдельные приложения в «песочницу» на облегченном Vserver.
. В 2007 году было представлено Упрощенное ядро обязательного контроля доступа.
В 2009 году новое решение под названием Tomoyo было включено в Linux 2.6.30; как и AppArmor, он также использует управление доступом на основе пути.
AppArmor впервые был использован в Immunix Linux 1998–2003. В то время AppArmor был известен как SubDomain, ссылка на возможность сегментации профиля безопасности для конкретной программы на различные домены, между которыми программа может переключаться динамически. AppArmor впервые был доступен в SLES и openSUSE и впервые был включен по умолчанию в SLES 10 и openSUSE 10.1.
В мае 2005 года Novell приобрела Immunix, переименовала его в AppArmor и начала очистку и переписывание кода для включения в ядро Linux. С 2005 по сентябрь 2007 года AppArmor обслуживала Novell. От Novell до настоящего времени SUSE является законным владельцем товарного знака AppArmor.
AppArmor был впервые успешно перенесен / упакован для Ubuntu в апреле 2007 года. AppArmor стал стандартным пакет, начиная с Ubuntu 7.10, и входил в состав выпуска Ubuntu 8.04, по умолчанию защищая только CUPS. Начиная с Ubuntu 9.04, больше элементов, таких как MySQL, имеют установленные профили. Укрепление AppArmor продолжало улучшаться в Ubuntu 9.10, поскольку он поставляется с профилями для своего гостевого сеанса, виртуальными машинами libvirt, средством просмотра документов Evince и дополнительным профилем Firefox.
AppArmor был интегрирован в Октябрь 2010 г., выпуск ядра 2.6.36.
AppArmor был интегрирован в Synology DSM 5.1 Beta в 2014 г.
AppArmor был включен в Solus Release 3 в 2017/8 г. /15.
AppArmor включен по умолчанию в Debian 10 (Buster), выпущенном в июле 2019 года.
AppArmor доступен в официальных репозиториях для Arch Linux.