AppArmor - AppArmor

AppArmor

Ursprungliga författare	Immunix
Utvecklare	Ursprungligen av Immunix (1998-2005), sedan av SUSE som en del av Novell (2005-2009), och för närvarande av Canonical Ltd (sedan 2009).
Initial release	1998 ; 23 år sedan ( 1998 )
Stabil frisättning	3.0.1 / 2 december 2020 ; 8 månader sedan ( 2020-12-02 )
Förvar	gitlab .com /apparmor
Skrivet i	C , Python , C ++ , sh
Operativ system	Linux
Typ	Säkerhet, Linux Security Modules (LSM)
Licens	GNU General Public License
Hemsida	apparmor .net

AppArmor ("Application Armor") är en Linux- kärnsäkerhetsmodul som tillåter systemadministratören att begränsa programmets möjligheter med profiler per program. Profiler kan tillåta funktioner som nätverksåtkomst, raw socket -åtkomst och behörighet att läsa, skriva eller köra filer på matchande sökvägar. AppArmor kompletterar den traditionella Unix diskretionära åtkomstkontrollmodellen (DAC) genom att tillhandahålla obligatorisk åtkomstkontroll (MAC). Det har delvis ingått i mainline Linux -kärnan sedan version 2.6.36 och dess utveckling har stötts av Canonical sedan 2009.

Detaljer

Förutom att manuellt skapa profiler innehåller AppArmor ett inlärningsläge där profilöverträdelser loggas, men inte förhindras. Denna logg kan sedan användas för att generera en AppArmor -profil, baserat på programmets typiska beteende.

AppArmor implementeras med Linux Security Modules (LSM) kärngränssnitt.

AppArmor erbjuds delvis som ett alternativ till SELinux , vilket kritiker anser vara svårt för administratörer att konfigurera och underhålla. Till skillnad från SELinux, som är baserat på att applicera etiketter på filer, fungerar AppArmor med filvägar. Förespråkarna för AppArmor hävdar att det är mindre komplext och lättare för den genomsnittliga användaren att lära sig än SELinux. De hävdar också att AppArmor kräver färre modifieringar för att arbeta med befintliga system. Till exempel kräver SELinux ett filsystem som stöder "säkerhetsetiketter" och därmed inte kan tillhandahålla åtkomstkontroll för filer som är monterade via NFS. AppArmor är filsystem-agnostiker.

Andra system

AppArmor representerar en av flera möjliga metoder för att begränsa de åtgärder som installerad programvara kan vidta.

Den SELinux system tar i allmänhet ett tillvägagångssätt som liknar AppArmor. En viktig skillnad, SELinux identifierar filsystemobjekt med inodnummer istället för sökväg. Under AppArmor kan en otillgänglig fil bli tillgänglig om en hård länk till den skapas. Denna skillnad kan vara mindre viktig än den en gång var, eftersom Ubuntu 10.10 och senare mildrar detta med en säkerhetsmodul som heter Yama, som också används i andra distributioner. SELinuxs inodbaserade modell har alltid inneburit nekad åtkomst genom nyskapade hårda länkar eftersom den hårda länken skulle peka på en otillgänglig inod.

SELinux och AppArmor skiljer sig också avsevärt åt i hur de administreras och hur de integreras i systemet.

Isolering av processer kan också åstadkommas genom mekanismer som virtualisering; den One Laptop per Child (OLPC) projekt, till exempel Sandlådor enskilda applikationer i lätta vserver .

2007 introducerades det förenklade obligatoriska åtkomstkontrollkärnan .

Under 2009 inkluderades en ny lösning som heter Tomoyo i Linux 2.6.30; precis som AppArmor använder den också vägbaserad åtkomstkontroll.

Tillgänglighet

AppArmor användes först i Immunix Linux 1998–2003. På den tiden var AppArmor känd som SubDomain, en referens till möjligheten för en säkerhetsprofil för ett specifikt program att segmenteras i olika domäner, som programmet kan växla mellan dynamiskt. AppArmor gjordes först tillgängligt i SLES och openSUSE och aktiverades först som standard i SLES 10 och i openSUSE 10.1.

I maj 2005 förvärvade Novell Immunix och rebranded SubDomain som AppArmor och började kodrengöring och omskrivning för införande i Linux -kärnan. Från 2005 till september 2007 underhålls AppArmor av Novell. Novell togs över av SUSE som nu är laglig ägare till det varumärkesnamn AppArmor.

AppArmor portades/förpackades första gången för Ubuntu i april 2007. AppArmor blev ett standardpaket som startade i Ubuntu 7.10 och kom som en del av lanseringen av Ubuntu 8.04 och skyddade endast CUPS som standard. Från och med Ubuntu 9.04 har fler objekt som MySQL installerat profiler. AppArmor -härdningen fortsatte att förbättras i Ubuntu 9.10 när den levereras med profiler för sin gästsession, virtuella libvirt -maskiner, Evince -dokumentvisaren och en valfri Firefox -profil.

AppArmor integrerades i versionen av 2.6.36 -kärnan i oktober 2010.

AppArmor har integrerats i Synologys DSM sedan 5.1 Beta 2014.

AppArmor aktiverades i Solus Release 3 2017/8/15.

AppArmor är aktiverat som standard i Debian 10 (Buster) , släppt i juli 2019.

AppArmor är tillgängligt i de officiella arkiven för Arch Linux .

Se även

• SELinux
• Linux Intrusion Detection System (LIDS)
• Systrace

Referenser

externa länkar

• "AppArmor wiki" . GitLab . Hämtad 2018-04-25 .
• AppArmor wiki (arkiverad)
• AppArmor -beskrivning från openSUSE.org
• "AppArmor detaljerad dokumentation" . ArchLinux . Hämtad 2018-04-25 .
• LKML -tråd som innehåller kommentarer och kritik av AppArmor
• Apparmor -paket för Ubuntu
• Kontrapunkt: (prenumeration krävs) Novell och Red Hat säkerhetsexperter möter AppArmor och SELinux
• AppArmor Application Security för Linux