跳至內容
主選單
主選單
移至側邊欄
隱藏
導覽
首頁
近期變更
隨機頁面
MediaWiki說明
Taiwan Tongues 台語維基
搜尋
搜尋
外觀
建立帳號
登入
個人工具
建立帳號
登入
檢視 AppArmor 的原始碼
頁面
討論
臺灣正體
閱讀
檢視原始碼
檢視歷史
工具
工具
移至側邊欄
隱藏
操作
閱讀
檢視原始碼
檢視歷史
一般
連結至此的頁面
相關變更
特殊頁面
頁面資訊
外觀
移至側邊欄
隱藏
←
AppArmor
由於以下原因,您無權編輯此頁面:
您請求的操作只有這些群組的使用者能使用:
使用者
、taigi-reviewer、apibot
您可以檢視並複製此頁面的原始碼。
'''AppArmor'''(「 Application Armor」,意為「應用盔甲」)是一个 Linux 核心安全模組,允准系統管理員通過每一个程式的設定檔限制程式的功能。較伊的幫助頁面咧講,「 AppArmor 是一个對核心的增強工具,共程式限制佇一个有限的資源集合中。AppArmor 特殊的安全模型將對存取屬性的控制結合到程式毋是使用者。」 AppArmor 通過提供強制存取控制(MAC)來補充傳統的 Unix 自主存取控制(DAC)模型。對 Linux 核心的二交六 . 三十六版本開始,伊已經包含佇主流分支中,而且自二空空九年伊的開發會著矣 Canonical 公司的支援。 ==功能特性== AppArmor 對相關程式的約束佮控制通過 apparmor \ _ parser 載去到核心的設定檔來提供,這一般通過 / etc / init . d / apparmor 中的 SysV initscript,如: AppArmor 會當用兩種模式來執行:執行(enforcement)模式抑是學習(complain / learning)模式: * 執行模式-載入的設定檔中定義的策略將會予執行,並且會向 syslogd 報告違規試看覓。 * 學習-以「學習」模式載入的設定檔袂執行策略。伊干焦會報告違反策略的試驗。這種模式對開發設定檔真方便。利用這款模式會當根據各個程式針對性地生成設定檔。 AppArmor 是使用 Linux 安全模組(LSM)核心介面實現的。 佇二空空九年,Linux 二孵六 . 三十中包含一个名為 Tomoyo 的新解決方案;像 AppArmor 仝款,伊嘛使用佇路徑的存取控制。 ==仝 SELinux 的異同== AppArmor 來做這个 SELinux 的替代品出現的,因為著 SELinux 的批評者認為伊真歹予管理員設定佮維護。佮頂頭的標籤應用來做案件的 SELinux 無仝,AppArmor 使用檔案路徑來確認檔案。AppArmor 的支持者聲稱,伊對普通使用者來講愛比 SELinux 閣較簡單、閣較𠢕學習。𪜶認為講 AppArmor 對現有系統的要求較低:比如講 SELinux 需要支援「安全標籤」的檔案系統,所以無法度為著通過 NFS 掛載的檔案提供存取控制。AppArmor 著檔案系統無要求。 但是無論按怎,這兩个軟體產品著予管理員加強系統的安全性攏誠有幫助。𪜶攏專注存取控制,強化了標準的 Linux 存取控制策略。𪜶攏有生紀錄檔,並且提供審計活動的工具。𪜶攏佇咧應用程式層內作穡。對技術上講,𪜶是平平使用 LSM 佮 Linux 核心進行互動。𪜶允准彼管理員使用 GUI 佮非 GUI 工具。最後咧,𪜶攏允准管理員佇咧無真正阻止存取的情況下試看覓策略(干焦是警告), 通好閣兼佇咧數量的測試了後才應用安全加固策略。 SELinux 和 AppArmor 的無仝主要體這馬管理方式佮整合方式上。比如講一个重要的區別:SELinux 通過 inode 編號毋是路徑標識檔案系統物件。這意味著若是予一个無法度存取的檔案建立了硬連結,佇咧 AppArmor 中伊共會當存取,猶毋過 SELinux 通過新建立的硬連結猶原會拒絕存取—— 由 inode 參照的基礎資料是相𫝛的。另外咧,佇咧文件數量頂頭 AppArmor 愛比 SELinux 略略仔一籌,這意思網路頂走揣解決方案的難易程度平平有所謂。 ==歷史== AppArmor 佇一千九百九十八 ~ 二空空三年首先佇 Immunix Linux 中予人使用。彼當陣,AppArmor 予人叫做是 SubDomain,這个名意佇咧共特定程式的安全設定檔分割著無仝的域,而程式會當動態地佇咧無仝款的域中進行切換。AppArmor 首先咧 SLES 和 openSUSE 中可用,並且佇咧 SLES 十和 openSUSE 十二一中預設起先啟用。 二空空五年五月,Novell 收購矣 Immunix 並將 SubDomain 重號名做 AppArmor,並開始著其實 Linux 核心進行代碼清理佮重寫。對二空空五年到二空空七年九月,AppArmor 由 Novell 維護。自彼陣仔起,SUSE 就是商標名 AppArmor 的合法所有的人。 AppArmor 佇二空空七年四月頭一擺成功移植並拍包於 Ubuntu。伊成做 Ubuntu 七孵一空版本的預設軟體套件,閣最終作為 Ubuntu 八堵空四發行版的一部份,預設設定干焦保護 CUPS。對 Ubuntu 九孵空四開始,閣較濟專案(如 MySQL)已經安裝矣設定檔。佇咧 Ubuntu 九九一空中,AppArmor 的功能不斷得著改進,因為伊提供了客戶對談、libvirt 虛擬機器、Evince 文件檢視器的設定檔。伊閣提供一个可選的 Firefox 的設定檔。 AppArmor 頭一改予人整合著 Linux 核心中是佇二空一空年十月的二嬸六 . 三十六版本。 二空一四年,AppArmor 已經整合著矣 Synology 的 DSM 五孵一 Beta 中。 ==參見== * LIDS * Systrace * Grsecurity ==參考文獻== ==外部連結== * AppArmor Wiki(存檔) * AppArmor openSUSE 百科內底的一寡評論(英文) * LKML thread 包括一寡著 AppArmor 的評論佮評價(英文) * Ubuntu 百科中相關的條目(英文) * Arch Linux 百科中相關的條目(英文) * Counterpoint : 原標題:Novell and Red Hat security experts face off on AppArmor and SELinux(英文) * AppArmor Application Security for Linux(英文) [[分類: 待校正]]
返回到「
AppArmor
」。
