AppArmor - AppArmor
Оригинальный автор (ы) | Иммуникс |
---|---|
Разработчики) | Первоначально автор Иммуникс (1998-2005), затем SUSE как часть Novell (2005-2009), и в настоящее время Canonical Ltd (с 2009 г.). |
изначальный выпуск | 1998 |
Стабильный выпуск | 2.13.2 / 21 декабря 2018 г.[1] |
Репозиторий | gitlab |
Написано в | Python, C, C ++, ш[2] |
Операционная система | Linux |
Тип | Безопасность, Модули безопасности Linux (LSM) |
Лицензия | Стандартная общественная лицензия GNU |
AppArmor ("Application Armor") - это Ядро Linux модуль безопасности что позволяет системному администратору ограничивать возможности программ с помощью профилей программ. Профили могут предоставлять такие возможности, как доступ к сети, доступ к необработанным сокетам, а также разрешение на чтение, запись или выполнение файлов по совпадающим путям. AppArmor дополняет традиционный Unix дискреционный контроль доступа (DAC), предоставив принудительный контроль доступа (MAC). Он был частично включен в основное ядро Linux с версии 2.6.36, и его разработка поддерживалась Канонический с 2009 года.
Подробности
Помимо ручного создания профилей, AppArmor включает режим обучения, в котором нарушения профиля регистрируются, но не предотвращаются. Затем этот журнал можно использовать для создания профиля AppArmor на основе типичного поведения программы.
AppArmor реализован с использованием Модули безопасности Linux (LSM) интерфейс ядра.
AppArmor частично предлагается как альтернатива SELinux, которые критики считают сложными для администраторов в настройке и обслуживании.[3] В отличие от SELinux, который основан на применении меток к файлам, AppArmor работает с путями к файлам. Сторонники AppArmor утверждают, что он менее сложен и легче для освоения обычным пользователем, чем SELinux.[4] Они также утверждают, что AppArmor требует меньше модификаций для работы с существующими системами.[нужна цитата ] Например, SELinux требует файловой системы, поддерживающей «метки безопасности», и поэтому не может обеспечивать контроль доступа к файлам, смонтированным через NFS. AppArmor не зависит от файловой системы.
Другие системы
Эта секция нужны дополнительные цитаты для проверка.Июнь 2009 г.) (Узнайте, как и когда удалить этот шаблон сообщения) ( |
AppArmor представляет собой один из нескольких возможных подходов к проблеме ограничения действий, которые может выполнять установленное программное обеспечение.
В SELinux система обычно использует подход, аналогичный AppArmor. Одно важное отличие: SELinux идентифицирует объекты файловой системы по индекс номер вместо пути. В AppArmor недоступный файл может стать доступным, если жесткая ссылка ему создан. Это различие может быть менее важным, чем когда-то, поскольку Ubuntu 10.10 и более поздние версии смягчают это с помощью модуля безопасности под названием Yama, который также используется в других дистрибутивах.[5] Модель SELinux, основанная на inode, всегда изначально запрещала доступ через вновь созданные жесткие ссылки, потому что жесткая ссылка указывала бы на недоступный inode.
SELinux и AppArmor также существенно различаются по способам администрирования и интеграции в систему.
Изоляция процессов также может быть достигнута с помощью таких механизмов, как виртуализация; то Один ноутбук на ребенка (OLPC), например, отдельные приложения в облегченном виде Всервер.
В 2007 г. Упрощенное ядро обязательного контроля доступа был представлен.
В 2009 году появилось новое решение под названием Томойо был включен в Linux 2.6.30; как и AppArmor, он также использует управление доступом на основе пути.
Доступность
AppArmor впервые был использован в Иммуникс Linux 1998–2003 гг. В то время AppArmor назывался поддоменом,[6][7] ссылка на возможность сегментации профиля безопасности для конкретной программы на различные домены, между которыми программа может переключаться динамически. AppArmor впервые был доступен в SLES и openSUSE и впервые был включен по умолчанию в SLES 10 и openSUSE 10.1.
В мае 2005 г. Novell приобретенный Иммуникс и ребрендинг Поддомен как AppArmor и начал чистку и переписывание кода для включения в Linux ядро.[8]С 2005 по сентябрь 2007 года AppArmor обслуживала Novell. Novell была поглощена SUSE которые теперь являются законными владельцами торговой марки AppArmor.[9]
AppArmor был впервые успешно перенесен / упакован для Ubuntu в апреле 2007 года. AppArmor стал пакетом по умолчанию, начиная с Ubuntu 7.10, и стал частью выпуска Ubuntu 8.04, защищая только ЧАШКИ по умолчанию. Начиная с Ubuntu 9.04, больше элементов, таких как MySQL, имеют установленные профили. Укрепление AppArmor продолжало улучшаться в Ubuntu 9.10, поскольку он поставляется с профилями для своего гостевого сеанса, libvirt виртуальные машины, программа просмотра документов Evince и дополнительный профиль Firefox.[10]
AppArmor был интегрирован в выпуск ядра 2.6.36, октябрь 2010 г.[11][12][13][14]
AppArmor интегрирован с Synology DSM с версии 5.1 Beta в 2014 году.[15]
AppArmor был включен в Solus Выпуск 3 от 15.08.2017.[16]
AppArmor по умолчанию включен в Debian 10 (Buster), выпущенный в июле 2019 года.[17]
AppArmor доступен в официальных репозиториях для Arch Linux.[18]
Смотрите также
Рекомендации
- ^ «Примечания к выпуску 2.13.2». Команда разработчиков AppArmor.
- ^ Проект AppArmor Application Armor с открытым исходным кодом на странице Open Hub Languages
- ^ Маянк Шарма (11 декабря 2006 г.). "Linux.com :: SELinux: Всесторонняя безопасность за счет удобства использования". Архивировано из оригинал на 2009-02-02. Получено 2007-10-25.
- ^ Ральф Спеннеберг (август 2006 г.). «Защитная броня: защита от злоумышленников с помощью AppArmor». Журнал Linux. В архиве из оригинала 21 августа 2008 г.. Получено 2008-08-02.
- ^ «Безопасность / Возможности - Ubuntu Wiki». wiki.ubuntu.com. Получено 2020-07-19.
- ^ Винсент Данен (17 декабря 2001). «Immunix System 7: безопасность Linux с каской (не Red Hat)». Архивировано из оригинал 23 мая 2012 г.
- ^ WireX Communications, Inc. (2000-11-15). «Immunix.org: источник безопасных компонентов и платформ Linux». Архивировано из оригинал на 2001-02-03.
- ^ "История AppArmor". AppArmor. Архивировано 2 июля 2017 года.CS1 maint: BOT: статус исходного URL-адреса неизвестен (связь)
- ^ «AppArmor». Ведомство США по патентам и товарным знакам.
- ^ «SecurityTeam / База знаний / AppArmorProfiles - Ubuntu Wiki». Получено 9 января 2011.
- ^ Джеймс Корбет (2010-10-20). "Ядро 2.6.36 вышло".
- ^ Линус Торвальдс (2010-10-20). «Журнал изменений». Архивировано из оригинал на 2011-09-04.
- ^ «Linux 2.6.36». 2010-10-20.
- ^ Шон Майкл Кернер (2010-10-20). "Ядро Linux 2.6.36 получает AppArmor".
- ^ «Примечания к выпуску программы бета-тестирования DSM 5.1».
- ^ «Выпущен дистрибутив Solus 3 Linux для энтузиастов».
- ^ "Новое в Бастере".
- ^ «Arch Linux - apparmor 2.13.4-4 (x86_64)».
внешняя ссылка
- "AppArmor wiki". GitLab. Получено 2018-04-25.
- AppArmor wiki (в архиве)
- Описание AppArmor с openSUSE.org
- «Подробная документация по AppArmor». ArchLinux. Получено 2018-04-25.
- LKML резьба содержащие комментарии и критику AppArmor
- Пакеты Apparmor для Ubuntu
- Контрапункт: (требуется подписка) Эксперты по безопасности Novell и Red Hat сражаются друг с другом по поводу AppArmor и SELinux
- Безопасность приложений AppArmor для Linux