Оригинальный автор (ы) | Иммуникс |
---|---|
Разработчики) | Первоначально Immunix (1998-2005), затем SUSE как часть Novell (2005-2009), а в настоящее время Canonical Ltd (с 2009). |
изначальный выпуск | 1998 |
Стабильный выпуск | 2.13.2 / 21 декабря 2018 г . [1] |
Репозиторий | gitlab |
Написано в | Python , C , C ++ , sh [2] |
Операционная система | Linux |
Тип | Безопасность, Модули безопасности Linux (LSM) |
Лицензия | Стандартная общественная лицензия GNU |
AppArmor («Application Armor») - это модуль безопасности ядра Linux, который позволяет системному администратору ограничивать возможности программ с помощью профилей программ. Профили могут предоставлять такие возможности, как доступ к сети, доступ к необработанным сокетам, а также разрешение на чтение, запись или выполнение файлов по совпадающим путям. AppArmor дополняет традиционную модель дискреционного контроля доступа (DAC) Unix , обеспечивая обязательный контроль доступа (MAC). Он был частично включен в основное ядро Linux с версии 2.6.36, а его разработка поддерживалась Canonical с 2009 года.
Подробности [ править ]
Помимо ручного создания профилей, AppArmor включает режим обучения, в котором нарушения профиля регистрируются, но не предотвращаются. Затем этот журнал можно использовать для создания профиля AppArmor на основе типичного поведения программы.
AppArmor реализован с использованием интерфейса ядра Linux Security Modules (LSM).
AppArmor частично предлагается как альтернатива SELinux , которую критики считают сложной для администраторов в настройке и обслуживании. [3] В отличие от SELinux, который основан на применении меток к файлам, AppArmor работает с путями к файлам. Сторонники AppArmor утверждают, что он менее сложен и легче для освоения обычным пользователем, чем SELinux. [4] Они также утверждают, что AppArmor требует меньше модификаций для работы с существующими системами. [ необходима цитата ] Например, SELinux требует файловой системы, которая поддерживает «метки безопасности», и поэтому не может обеспечивать контроль доступа для файлов, смонтированных через NFS. AppArmor не зависит от файловой системы.
Другие системы [ править ]
Этот раздел требует дополнительных ссылок для проверки . Июнь 2009 г. ) ( Узнайте, как и когда удалить этот шаблон сообщения ) ( |
AppArmor представляет собой один из нескольких возможных подходов к проблеме ограничения действий, которые может выполнять установленное программное обеспечение.
Система SELinux обычно использует подход, аналогичный AppArmor. Одно важное отличие: SELinux идентифицирует объекты файловой системы по номеру индекса, а не по пути. В AppArmor недоступный файл может стать доступным, если на него будет создана жесткая ссылка . Это различие может быть менее важным, чем когда-то, поскольку Ubuntu 10.10 и более поздние версии смягчают это с помощью модуля безопасности под названием Yama, который также используется в других дистрибутивах. [5] Модель SELinux, основанная на inode, всегда изначально запрещала доступ через вновь созданные жесткие ссылки, потому что жесткая ссылка указывала бы на недоступный inode.
SELinux и AppArmor также существенно различаются по способам администрирования и интеграции в систему.
Изоляция процессов также может быть достигнута с помощью таких механизмов, как виртуализация; проект « Один ноутбук на ребенка» (OLPC), например, помещает отдельные приложения в «песочницу» в облегченном Vserver .
В 2007 году было представлено упрощенное ядро обязательного контроля доступа .
В 2009 г. в Linux 2.6.30 было включено новое решение под названием Tomoyo ; как и AppArmor, он также использует управление доступом на основе пути.
Доступность [ править ]
AppArmor впервые был использован в Immunix Linux 1998–2003 гг. В то время AppArmor назывался поддоменом [6] [7], что указывало на возможность сегментирования профиля безопасности для конкретной программы на разные домены, между которыми программа могла динамически переключаться. AppArmor впервые был доступен в SLES и openSUSE и впервые был включен по умолчанию в SLES 10 и openSUSE 10.1.
В мае 2005 года Novell приобрела Immunix и переименовала SubDomain в AppArmor и начала очистку и переписывание кода для включения в ядро Linux. [8] С 2005 года по сентябрь 2007 года AppArmor поддерживалась Novell. Novell была поглощена SUSE, которая теперь является законным владельцем торговой марки AppArmor. [9]
AppArmor был впервые успешно перенесен / упакован для Ubuntu в апреле 2007 года. AppArmor стал пакетом по умолчанию, начиная с Ubuntu 7.10, и стал частью выпуска Ubuntu 8.04, по умолчанию защищая только CUPS . Начиная с Ubuntu 9.04, больше элементов, таких как MySQL, имеют установленные профили. Укрепление AppArmor продолжало улучшаться в Ubuntu 9.10, поскольку он поставляется с профилями для своего гостевого сеанса, виртуальными машинами libvirt , средством просмотра документов Evince и дополнительным профилем Firefox. [10]
AppArmor был интегрирован в выпуск ядра 2.6.36, октябрь 2010 г. [11] [12] [13] [14]
AppArmor интегрирован в Synology DSM с версии 5.1 Beta в 2014 году. [15]
AppArmor был включен в Solus Release 3 15.08.2017. [16]
AppArmor включен по умолчанию в Debian 10 (Buster) , выпущенном в июле 2019 г. [17]
AppArmor доступен в официальных репозиториях Arch Linux . [18]
См. Также [ править ]
- SELinux
- Система обнаружения вторжений Linux (LIDS)
- Systrace
Ссылки [ править ]
- ^ «Примечания к выпуску 2.13.2» . Команда разработчиков AppArmor .
- ^ Проект AppArmor Application Armor с открытым исходным кодом на странице Open Hub Languages
- ^ Маянк Шарма (2006-12-11). "Linux.com :: SELinux: Комплексная безопасность ценой удобства использования" . Архивировано из оригинала на 2009-02-02 . Проверено 25 октября 2007 .
- ^ Ralf Spenneberg (август 2006). «Защитная броня: защита от злоумышленников с помощью AppArmor» . Журнал Linux. Архивировано 21 августа 2008 года . Проверено 2 августа 2008 .
- ^ «Безопасность / Возможности - Ubuntu Wiki» . wiki.ubuntu.com . Проверено 19 июля 2020 .
- ^ Винсент Данен (2001-12-17). «Immunix System 7: безопасность Linux с каской (не Red Hat)» . Архивировано из оригинального 23 мая 2012 года.
- ^ WireX Communications, Inc. (2000-11-15). «Immunix.org: источник безопасных компонентов и платформ Linux» . Архивировано из оригинала на 2001-02-03.
- ^ "История AppArmor" . AppArmor. Архивировано 2 июля 2017 года.CS1 maint: bot: исходный статус URL неизвестен ( ссылка )
- ^ "AppArmor" . Ведомство США по патентам и товарным знакам.
- ^ «SecurityTeam / База знаний / AppArmorProfiles - Ubuntu Wiki» . Проверено 9 января 2011 года .
- ^ Джеймс Корбет (2010-10-20). «Ядро 2.6.36 вышло» .
- ^ Линус Торвальдс (2010-10-20). «Журнал изменений» . Архивировано из оригинала на 2011-09-04.
- ^ "Linux 2.6.36" . 2010-10-20.
- ^ Шон Майкл Кернер (2010-10-20). «Ядро Linux 2.6.36 получает AppArmor» .
- ^ «Примечания к выпуску программы бета-версии DSM 5.1» .
- ^ «Дистрибутив Solus 3 Linux выпущен для энтузиастов» .
- ^ "Новое в Бастере" .
- ^ "Arch Linux - apparmor 2.13.4-4 (x86_64)" .
Внешние ссылки [ править ]
- "AppArmor wiki" . GitLab . Проверено 25 апреля 2018 .
- AppArmor wiki (в архиве)
- Описание AppArmor с openSUSE.org
- «Подробная документация по AppArmor» . ArchLinux . Проверено 25 апреля 2018 .
- Тема LKML, содержащая комментарии и критику AppArmor
- Пакеты Apparmor для Ubuntu
- Counterpoint: (требуется подписка) эксперты по безопасности Novell и Red Hat соревнуются в AppArmor и SELinux
- Безопасность приложений AppArmor для Linux