AppArmor

редактировать
Модуль безопасности ядра Linux
AppArmor
AppArmor logo.svg
Автор (ы) Immunix
Разработчик (и) Первоначально Immunix (1998-2005), затем SUSE как часть Novell (2005-2009), и в настоящее время Canonical Ltd (с 2009 г.)
Первоначальный выпуск1998 г.; 22 года назад (1998 г.)
Стабильный выпуск 2.13.2 / 21 декабря 2018 г.; 21 месяц назад (21.12.2018)
Репозиторий gitlab.com / apparmor
Написано наPython, C, C ++, sh
Операционная система Linux
Тип Безопасность, Модули безопасности Linux (LSM)
Лицензия Стандартная общественная лицензия GNU

AppArmor («Защита приложений») - это Ядро Linux модуль безопасности, который позволяет системному администратору ограничивать возможности программ с помощью профилей программ. Профили могут предоставлять такие возможности, как доступ к сети, доступ к необработанным сокетам и разрешение на чтение, запись или выполнение файлов по совпадающим путям. AppArmor дополняет традиционную модель дискреционного управления доступом (DAC) Unix , предоставляя обязательный контроль доступа (MAC). Он был частично включен в основное ядро ​​Linux, начиная с версии 2.6.36, и его разработка поддерживалась Canonical с 2009 года.

Содержание

  • 1 Подробности
  • 2 Другие системы
    • 2.1 Доступность
  • 3 См. Также
  • 4 Ссылки
  • 5 Внешние ссылки

Подробности

В дополнение к ручному созданию профилей, AppArmor включает режим обучения, в котором нарушения профиля регистрируются, но не помешало. Затем этот журнал можно использовать для создания профиля AppArmor на основе типичного поведения программы.

AppArmor реализован с использованием интерфейса ядра Linux Security Modules (LSM).

AppArmor частично предлагается как альтернатива SELinux, которую критики считают сложной для администраторов в настройке и обслуживании. В отличие от SELinux, который основан на применении меток к файлам, AppArmor работает с путями к файлам. Сторонники AppArmor утверждают, что он менее сложен и легче для освоения обычным пользователем, чем SELinux. Они также утверждают, что AppArmor требует меньше модификаций для работы с существующими системами. Например, SELinux требует файловой системы, которая поддерживает «метки безопасности», и поэтому не может обеспечивать контроль доступа к файлам, смонтированным через NFS. AppArmor не зависит от файловой системы.

Другие системы

AppArmor представляет собой один из нескольких возможных подходов к проблеме ограничения действий, которые может выполнять установленное программное обеспечение.

Система SELinux обычно использует подход, аналогичный AppArmor. Одно важное отличие: SELinux идентифицирует объекты файловой системы по номеру inode вместо пути. В AppArmor недоступный файл может стать доступным, если на него будет создана жесткая ссылка . Это различие может быть менее важным, чем когда-то, поскольку Ubuntu 10.10 и более поздние версии смягчают это с помощью модуля безопасности под названием Yama, который также используется в других дистрибутивах. Модель SELinux, основанная на inode, всегда изначально запрещала доступ через вновь созданные жесткие ссылки, потому что жесткая ссылка указывала бы на недоступный inode.

SELinux и AppArmor также существенно различаются по способам администрирования и интеграции в систему.

Изоляция процессов также может быть достигнута с помощью таких механизмов, как виртуализация; Например, проект «Один ноутбук на ребенка » (OLPC) помещает отдельные приложения в «песочницу» на облегченном Vserver.

. В 2007 году было представлено Упрощенное ядро ​​обязательного контроля доступа.

В 2009 году новое решение под названием Tomoyo было включено в Linux 2.6.30; как и AppArmor, он также использует управление доступом на основе пути.

Доступность

AppArmor впервые был использован в Immunix Linux 1998–2003. В то время AppArmor был известен как SubDomain, ссылка на возможность сегментации профиля безопасности для конкретной программы на различные домены, между которыми программа может переключаться динамически. AppArmor впервые был доступен в SLES и openSUSE и впервые был включен по умолчанию в SLES 10 и openSUSE 10.1.

В мае 2005 года Novell приобрела Immunix, переименовала его в AppArmor и начала очистку и переписывание кода для включения в ядро ​​Linux. С 2005 по сентябрь 2007 года AppArmor обслуживала Novell. От Novell до настоящего времени SUSE является законным владельцем товарного знака AppArmor.

AppArmor был впервые успешно перенесен / упакован для Ubuntu в апреле 2007 года. AppArmor стал стандартным пакет, начиная с Ubuntu 7.10, и входил в состав выпуска Ubuntu 8.04, по умолчанию защищая только CUPS. Начиная с Ubuntu 9.04, больше элементов, таких как MySQL, имеют установленные профили. Укрепление AppArmor продолжало улучшаться в Ubuntu 9.10, поскольку он поставляется с профилями для своего гостевого сеанса, виртуальными машинами libvirt, средством просмотра документов Evince и дополнительным профилем Firefox.

AppArmor был интегрирован в Октябрь 2010 г., выпуск ядра 2.6.36.

AppArmor был интегрирован в Synology DSM 5.1 Beta в 2014 г.

AppArmor был включен в Solus Release 3 в 2017/8 г. /15.

AppArmor включен по умолчанию в Debian 10 (Buster), выпущенном в июле 2019 года.

AppArmor доступен в официальных репозиториях для Arch Linux.

См. Также

  • Портал бесплатного программного обеспечения с открытым исходным кодом

Ссылки

Внешние ссылки

Последняя правка сделана 2021-06-11 20:49:45
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте