AppArmor

AppArmor
Оригинальный автор(ы)	Иммуникс
Разработчик(и)	Первоначально компания Immunix (1998–2005 гг.), затем компания SUSE как часть Novell (2005–2009 гг.), а в настоящее время компания Canonical Ltd (с 2009 г.).
Первоначальный выпуск	1998 год ; 26 лет назад
Стабильная версия	3.1.7 / 2 февраля 2024 г .; 6 месяцев назад
Репозиторий	gitlab .с /аппармор
Написано в	C , Питон , С++ , ш
Операционная система	Линукс
Тип	Безопасность, модули безопасности Linux (LSM)
Лицензия	Стандартная общественная лицензия GNU
Веб-сайт	одежда .сеть

AppArmor («Защита приложений») — это ядра Linux модуль безопасности , который позволяет системному администратору ограничивать возможности программ с помощью профилей для каждой программы. Профили могут предоставлять такие возможности, как доступ к сети, доступ к необработанным сокетам, а также разрешение на чтение, запись или выполнение файлов по совпадающим путям. AppArmor дополняет традиционную модель дискреционного контроля доступа (DAC) Unix, обеспечивая обязательный контроль доступа (MAC). Он частично включен в основное ядро Linux начиная с версии 2.6.36, а его разработка поддерживается Canonical с 2009 года.

Подробности

Помимо создания профилей вручную, AppArmor включает режим обучения, в котором нарушения профиля протоколируются, но не предотвращаются. Этот журнал затем можно использовать для создания профиля AppArmor на основе типичного поведения программы.

AppArmor реализован с использованием интерфейса ядра модулей безопасности Linux (LSM).

AppArmor предлагается частично как альтернатива SELinux , которую критики считают сложной для администраторов в настройке и обслуживании. ^{[ 3 ]} В отличие от SELinux, который основан на применении меток к файлам, AppArmor работает с путями к файлам. Сторонники AppArmor утверждают, что он менее сложен и его легче освоить обычному пользователю, чем SELinux. ^{[ 4 ]} Они также утверждают, что AppArmor требует меньше модификаций для работы с существующими системами. ^{[ нужна ссылка ]} Например, для SELinux требуется файловая система, поддерживающая «метки безопасности», и поэтому она не может обеспечить контроль доступа к файлам, смонтированным через NFS . AppArmor не зависит от файловой системы.

Другие системы

AppArmor представляет собой один из нескольких возможных подходов к проблеме ограничения действий, которые может выполнять установленное программное обеспечение.

Система SELinux обычно использует подход, аналогичный AppArmor. Одно важное отличие: SELinux идентифицирует объекты файловой системы по номеру индексного дескриптора, а не по пути. В AppArmor недоступный файл может стать доступным, если на него будет создана жесткая ссылка . Эта разница может быть менее важной, чем раньше, поскольку Ubuntu 10.10 и более поздние версии смягчают ее с помощью модуля безопасности Yama, который также используется в других дистрибутивах. ^{[ 5 ]} Модель SELinux, основанная на индексном дескрипторе, всегда по своей сути запрещала доступ через вновь созданные жесткие ссылки, поскольку жесткая ссылка указывала бы на недоступный индексный дескриптор.

SELinux и AppArmor также существенно различаются в способах администрирования и интеграции в систему.

Изоляция процессов также может быть достигнута с помощью таких механизмов, как виртуализация; в облегченном Например, проект «Один ноутбук на ребенка» (OLPC) помещает отдельные приложения в «песочницу» Vserver .

В 2007 году ядро упрощенного обязательного контроля доступа было представлено .

новое решение под названием Tomoyo В 2009 году в Linux 2.6.30 было включено ; как и AppArmor, он также использует контроль доступа на основе пути.

Доступность

AppArmor впервые был использован в Immunix Linux 1998–2003 гг. В то время AppArmor назывался SubDomain. ^{[ 6 ]}^{[ 7 ]} ссылка на возможность сегментирования профиля безопасности для конкретной программы на разные домены, между которыми программа может переключаться динамически. AppArmor впервые стал доступен в SLES и openSUSE и впервые был включен по умолчанию в SLES 10 и openSUSE 10.1.

В мае 2005 года Novell приобрела Immunix , переименовала SubDomain в AppArmor и начала очистку и переписывание кода для включения в ядро Linux . ^{[ 8 ]} С 2005 по сентябрь 2007 года AppArmor поддерживалась Novell. Novell перешла во владение компании SUSE , которая теперь является законным владельцем торговой марки AppArmor. ^{[ 9 ]}

AppArmor был впервые успешно портирован/упакован для Ubuntu в апреле 2007 года. AppArmor стал пакетом по умолчанию, начиная с Ubuntu 7.10, и стал частью выпуска Ubuntu 8.04, защищая только CUPS по умолчанию . Начиная с Ubuntu 9.04, больше элементов, таких как MySQL, имеют установленные профили. Защита AppArmor продолжала улучшаться в Ubuntu 9.10, поскольку она поставляется с профилями для гостевого сеанса, виртуальными машинами libvirt , средством просмотра документов Evince и дополнительным профилем Firefox. ^{[ 10 ]}

AppArmor был интегрирован в версию ядра 2.6.36, выпущенную в октябре 2010 года. ^{[ 11 ]}^{[ 12 ]}^{[ 13 ]}^{[ 14 ]}

AppArmor интегрирован в Synology DSM начиная с бета-версии 5.1 в 2014 году. ^{[ 15 ]}

AppArmor был включен в Solus Release 3 15 августа 2017 г. ^{[ 16 ]}

AppArmor включен по умолчанию в Debian 10 (Buster) , выпущенном в июле 2019 года. ^{[ 17 ]}

AppArmor доступен в дополнительном репозитории Arch Linux . ^{[ 18 ]}

См. также

Ссылки

^ «Release_Notes_3.1.7 · Wiki · AppArmor / apparmor · GitLab» . 2 февраля 2024 г. Проверено 18 марта 2024 г.
^ AppArmor: проект с открытым исходным кодом Application Armor на Open Hub: страница языков
^ Маянк Шарма (11 декабря 2006 г.). «SELinux: Комплексная безопасность за счет удобства использования» . Проверено 11 июня 2023 г.
^ Ральф Спеннеберг (август 2006 г.). «Защитная броня: защита от злоумышленников с помощью AppArmor» . Журнал Линукс. Архивировано из оригинала 21 августа 2008 года . Проверено 2 августа 2008 г.
^ «Безопасность/функции — Ubuntu Wiki» . wiki.ubuntu.com . Проверено 19 июля 2020 г.
^ Винсент Данен (17 декабря 2001 г.). «Immunix System 7: безопасность Linux с каской (не Red Hat)» . Архивировано из оригинала 23 мая 2012 года.
^ WireX Communications, Inc. (15 ноября 2000 г.). «Immunix.org: источник безопасных компонентов и платформ Linux» . Архивировано из оригинала 3 февраля 2001 г.
^ «AppArmor_History · Wiki · AppArmor / apparmor» .
^ Торговая марка США 78 876 817.
^ «SecurityTeam/KnowledgeBase/AppArmorProfiles – Ubuntu Wiki» . Проверено 9 января 2011 г.
^ Джеймс Корбет (20 октября 2010 г.). «Ядро 2.6.36 вышло» .
^ Линус Торвальдс (20 октября 2010 г.). «Журнал изменений» . Архивировано из оригинала 4 сентября 2011 г.
^ «Линукс 2.6.36» . 20 октября 2010 г.
^ Шон Майкл Кернер (20 октября 2010 г.). «Ядро Linux 2.6.36 получает AppArmor» . Архивировано из оригинала 03 февраля 2018 г. Проверено 21 октября 2010 г.
^ «Примечания к выпуску бета-программы DSM 5.1» . ^{[ постоянная мертвая ссылка ]}
^ «Дистрибутив Solus 3 Linux выпущен для энтузиастов» .
^ «Новинка в Бастере» .
^ «Arch Linux — приложение pkgver-pkgrel (x86_64)» .

Внешние ссылки

[wikidata-348b1b081d7eea4b03e1441451e0d4f2d4e5e46d-v13-1] «Release_Notes_3.1.7 · Wiki · AppArmor / apparmor · GitLab» . 2 февраля 2024 г. Проверено 18 марта 2024 г.

[2] AppArmor: проект с открытым исходным кодом Application Armor на Open Hub: страница языков

[3] Маянк Шарма (11 декабря 2006 г.). «SELinux: Комплексная безопасность за счет удобства использования» . Проверено 11 июня 2023 г.

[4] Ральф Спеннеберг (август 2006 г.). «Защитная броня: защита от злоумышленников с помощью AppArmor» . Журнал Линукс. Архивировано из оригинала 21 августа 2008 года . Проверено 2 августа 2008 г.

[5] «Безопасность/функции — Ubuntu Wiki» . wiki.ubuntu.com . Проверено 19 июля 2020 г.

[6] Винсент Данен (17 декабря 2001 г.). «Immunix System 7: безопасность Linux с каской (не Red Hat)» . Архивировано из оригинала 23 мая 2012 года.

[7] WireX Communications, Inc. (15 ноября 2000 г.). «Immunix.org: источник безопасных компонентов и платформ Linux» . Архивировано из оригинала 3 февраля 2001 г.

[8] «AppArmor_History · Wiki · AppArmor / apparmor» .

[9] Торговая марка США 78 876 817.

[10] «SecurityTeam/KnowledgeBase/AppArmorProfiles – Ubuntu Wiki» . Проверено 9 января 2011 г.

[11] Джеймс Корбет (20 октября 2010 г.). «Ядро 2.6.36 вышло» .

[12] Линус Торвальдс (20 октября 2010 г.). «Журнал изменений» . Архивировано из оригинала 4 сентября 2011 г.

[13] «Линукс 2.6.36» . 20 октября 2010 г.

[14] Шон Майкл Кернер (20 октября 2010 г.). «Ядро Linux 2.6.36 получает AppArmor» . Архивировано из оригинала 03 февраля 2018 г. Проверено 21 октября 2010 г.

[15] «Примечания к выпуску бета-программы DSM 5.1» . ^{[ постоянная мертвая ссылка ]}

[16] «Дистрибутив Solus 3 Linux выпущен для энтузиастов» .

[17] «Новинка в Бастере» .

[18] «Arch Linux — приложение pkgver-pkgrel (x86_64)» .

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]