stringtranslate.com

AppArmor

AppArmor («Application Armor») — это модуль безопасности ядра Linux , который позволяет системному администратору ограничивать возможности программ с помощью профилей для каждой программы. Профили могут разрешать такие возможности, как сетевой доступ, доступ к сырым сокетам и разрешение на чтение, запись или выполнение файлов по соответствующим путям. AppArmor дополняет традиционную модель дискреционного управления доступом (DAC) Unix, предоставляя обязательный контроль доступа (MAC). Он был частично включен в основное ядро ​​Linux с версии 2.6.36, и его разработка поддерживается Canonical с 2009 года.

Подробности

В дополнение к ручному созданию профилей AppArmor включает режим обучения, в котором нарушения профиля регистрируются, но не предотвращаются. Этот журнал затем может быть использован для создания профиля AppArmor на основе типичного поведения программы.

AppArmor реализован с использованием интерфейса ядра Linux Security Modules (LSM).

AppArmor предлагается частично как альтернатива SELinux , которую критики считают сложной для настройки и обслуживания администраторами. [3] В отличие от SELinux, который основан на применении меток к файлам, AppArmor работает с путями к файлам. Сторонники AppArmor утверждают, что он менее сложен и прост в освоении для обычного пользователя, чем SELinux. [4] Они также утверждают, что AppArmor требует меньше модификаций для работы с существующими системами. [ необходима цитата ] Например, SELinux требует файловой системы, которая поддерживает «метки безопасности», и, таким образом, не может обеспечить контроль доступа для файлов, смонтированных через NFS . AppArmor не зависит от файловой системы.

Другие системы

AppArmor представляет собой один из нескольких возможных подходов к проблеме ограничения действий, которые может выполнять установленное программное обеспечение.

Система SELinux в целом использует подход, аналогичный AppArmor. Одно важное отличие: SELinux идентифицирует объекты файловой системы по номеру inode, а не по пути. В AppArmor недоступный файл может стать доступным, если на него создана жесткая ссылка . Это отличие может быть менее важным, чем когда-то, поскольку Ubuntu 10.10 и более поздние версии смягчают это с помощью модуля безопасности Yama, который также используется в других дистрибутивах. [5] Модель SELinux на основе inode всегда изначально запрещала доступ через вновь созданные жесткие ссылки, поскольку жесткая ссылка указывала бы на недоступный inode.

SELinux и AppArmor также существенно различаются по способу администрирования и интеграции в систему.

Изоляция процессов также может быть достигнута с помощью таких механизмов, как виртуализация; например, проект «Один ноутбук на ребенка » (OLPC) изолирует отдельные приложения в облегченном Vserver .

В 2007 году было представлено ядро ​​упрощенного обязательного контроля доступа .

В 2009 году в Linux 2.6.30 было включено новое решение под названием Tomoyo ; как и AppArmor, оно также использует контроль доступа на основе путей.

Доступность

AppArmor впервые был использован в Immunix Linux 1998–2003. В то время AppArmor был известен как SubDomain, [6] [7] что означало возможность сегментации профиля безопасности для определенной программы на различные домены, между которыми программа могла динамически переключаться. AppArmor впервые появился в SLES и openSUSE и впервые был включен по умолчанию в SLES 10 и openSUSE 10.1.

В мае 2005 года Novell приобрела Immunix и переименовала SubDomain в AppArmor, а также начала очистку и переписывание кода для включения в ядро ​​Linux . [8] С 2005 по сентябрь 2007 года AppArmor поддерживался Novell. Novell была поглощена SUSE , которая теперь является законным владельцем торговой марки AppArmor. [9]

AppArmor был впервые успешно портирован/упакован для Ubuntu в апреле 2007 года. AppArmor стал пакетом по умолчанию, начиная с Ubuntu 7.10, и вошел в состав выпуска Ubuntu 8.04, защищая по умолчанию только CUPS . Начиная с Ubuntu 9.04 больше элементов, таких как MySQL, имеют установленные профили. Усиление защиты AppArmor продолжило улучшаться в Ubuntu 9.10, поскольку он поставляется с профилями для своего гостевого сеанса, виртуальных машин libvirt , средства просмотра документов Evince и дополнительного профиля Firefox. [10]

AppArmor был интегрирован в релиз ядра 2.6.36 от октября 2010 года. [11] [12] [13] [14]

AppArmor был интегрирован в DSM компании Synology с версии 5.1 Beta в 2014 году. [15]

AppArmor был включен в Solus Release 3 15.08.2017. [16]

AppArmor включен по умолчанию в Debian 10 (Buster) , выпущенном в июле 2019 года. [17]

AppArmor доступен в дополнительном репозитории Arch Linux . [18]

Смотрите также

Ссылки

  1. ^ "Release_Notes_3.1.7 · Wiki · AppArmor / apparmor · GitLab". 2 февраля 2024 г. Получено 18 марта 2024 г.
  2. ^ AppArmor: проект с открытым исходным кодом Application Armor на Open Hub: страница языков
  3. ^ Mayank Sharma (2006-12-11). "SELinux: всеобъемлющая безопасность ценой удобства использования" . Получено 2023-06-11 .
  4. ^ Ральф Спеннеберг (август 2006 г.). «Защитная броня: блокировка вторжений с помощью AppArmor». Linux Magazine. Архивировано из оригинала 21 августа 2008 г. Получено 2008-08-02 .
  5. ^ "Безопасность/Функции - Ubuntu Wiki". wiki.ubuntu.com . Получено 2020-07-19 .
  6. ^ Винсент Данен (17 декабря 2001 г.). «Immunix System 7: безопасность Linux с каской (не Red Hat)». Архивировано из оригинала 23 мая 2012 г.
  7. ^ WireX Communications, Inc. (15.11.2000). "Immunix.org: Источник безопасных компонентов и платформ Linux". Архивировано из оригинала 03.02.2001.
  8. ^ "AppArmor_History · Wiki · AppArmor / apparmor".
  9. ^ Товарный знак США 78,876,817
  10. ^ "SecurityTeam/KnowledgeBase/AppArmorProfiles – Ubuntu Wiki" . Получено 9 января 2011 г. .
  11. ^ Джеймс Корбет (2010-10-20). «Ядро 2.6.36 вышло».
  12. ^ Линус Торвальдс (2010-10-20). "Журнал изменений". Архивировано из оригинала 2011-09-04.
  13. ^ "Linux 2.6.36". 2010-10-20.
  14. ^ Шон Майкл Кернер (2010-10-20). "Linux Kernel 2.6.36 Gets AppArmor". Архивировано из оригинала 2018-02-03 . Получено 2010-10-21 .
  15. ^ «Заметки о выпуске бета-программы DSM 5.1».[ постоянная мертвая ссылка ]
  16. ^ «Дистрибутив Solus 3 Linux выпущен для энтузиастов».
  17. ^ «Новое в Бастере».
  18. ^ "Arch Linux - apparmor pkgver-pkgrel (x86_64)".

Внешние ссылки