https://wiki.taigi.ima.org.tw/w/index.php?action=history&feed=atom&title=AppArmor 2026-05-15T20:26:38Z 本 wiki 上此頁面的修訂紀錄 MediaWiki 1.43.1 https://wiki.taigi.ima.org.tw/w/index.php?title=AppArmor&diff=492409&oldid=prev 2025-08-23T22:21:23Z

<p>從 JSON 檔案批量匯入</p> <p><b>新頁面</b></p><div>&#039;&#039;&#039;AppArmor&#039;&#039;&#039;（「 Application Armor」，意為「應用盔甲」）是一个 Linux 核心安全模組，允准系統管理員通過每一个程式的設定檔限制程式的功能。較伊的幫助頁面咧講，「 AppArmor 是一个對核心的增強工具，共程式限制佇一个有限的資源集合中。AppArmor 特殊的安全模型將對存取屬性的控制結合到程式毋是使用者。」<br /> <br /> AppArmor 通過提供強制存取控制（MAC）來補充傳統的 Unix 自主存取控制（DAC）模型。對 Linux 核心的二交六 . 三十六版本開始，伊已經包含佇主流分支中，而且自二空空九年伊的開發會著矣 Canonical 公司的支援。<br /> <br /> ==功能特性==<br /> <br /> AppArmor 對相關程式的約束佮控制通過 apparmor \ _ parser 載去到核心的設定檔來提供，這一般通過 / etc / init . d / apparmor 中的 SysV initscript，如：<br /> <br /> AppArmor 會當用兩種模式來執行：執行（enforcement）模式抑是學習（complain / learning）模式：<br /> <br /> * 執行模式-載入的設定檔中定義的策略將會予執行，並且會向 syslogd 報告違規試看覓。<br /> * 學習-以「學習」模式載入的設定檔袂執行策略。伊干焦會報告違反策略的試驗。這種模式對開發設定檔真方便。利用這款模式會當根據各個程式針對性地生成設定檔。<br /> <br /> AppArmor 是使用 Linux 安全模組（LSM）核心介面實現的。<br /> 佇二空空九年，Linux 二孵六 . 三十中包含一个名為 Tomoyo 的新解決方案；像 AppArmor 仝款，伊嘛使用佇路徑的存取控制。<br /> <br /> ==仝 SELinux 的異同==<br /> <br /> AppArmor 來做這个 SELinux 的替代品出現的，因為著 SELinux 的批評者認為伊真歹予管理員設定佮維護。佮頂頭的標籤應用來做案件的 SELinux 無仝，AppArmor 使用檔案路徑來確認檔案。AppArmor 的支持者聲稱，伊對普通使用者來講愛比 SELinux 閣較簡單、閣較𠢕學習。𪜶認為講 AppArmor 對現有系統的要求較低：比如講 SELinux 需要支援「安全標籤」的檔案系統，所以無法度為著通過 NFS 掛載的檔案提供存取控制。AppArmor 著檔案系統無要求。<br /> <br /> 但是無論按怎，這兩个軟體產品著予管理員加強系統的安全性攏誠有幫助。𪜶攏專注存取控制，強化了標準的 Linux 存取控制策略。𪜶攏有生紀錄檔，並且提供審計活動的工具。𪜶攏佇咧應用程式層內作穡。對技術上講，𪜶是平平使用 LSM 佮 Linux 核心進行互動。𪜶允准彼管理員使用 GUI 佮非 GUI 工具。最後咧，𪜶攏允准管理員佇咧無真正阻止存取的情況下試看覓策略（干焦是警告）， 通好閣兼佇咧數量的測試了後才應用安全加固策略。<br /> <br /> SELinux 和 AppArmor 的無仝主要體這馬管理方式佮整合方式上。比如講一个重要的區別：SELinux 通過 inode 編號毋是路徑標識檔案系統物件。這意味著若是予一个無法度存取的檔案建立了硬連結，佇咧 AppArmor 中伊共會當存取，猶毋過 SELinux 通過新建立的硬連結猶原會拒絕存取—— 由 inode 參照的基礎資料是相𫝛的。另外咧，佇咧文件數量頂頭 AppArmor 愛比 SELinux 略略仔一籌，這意思網路頂走揣解決方案的難易程度平平有所謂。<br /> <br /> ==歷史==<br /> <br /> AppArmor 佇一千九百九十八 ~ 二空空三年首先佇 Immunix Linux 中予人使用。彼當陣，AppArmor 予人叫做是 SubDomain，這个名意佇咧共特定程式的安全設定檔分割著無仝的域，而程式會當動態地佇咧無仝款的域中進行切換。AppArmor 首先咧 SLES 和 openSUSE 中可用，並且佇咧 SLES 十和 openSUSE 十二一中預設起先啟用。<br /> <br /> 二空空五年五月，Novell 收購矣 Immunix 並將 SubDomain 重號名做 AppArmor，並開始著其實 Linux 核心進行代碼清理佮重寫。對二空空五年到二空空七年九月，AppArmor 由 Novell 維護。自彼陣仔起，SUSE 就是商標名 AppArmor 的合法所有的人。<br /> <br /> AppArmor 佇二空空七年四月頭一擺成功移植並拍包於 Ubuntu。伊成做 Ubuntu 七孵一空版本的預設軟體套件，閣最終作為 Ubuntu 八堵空四發行版的一部份，預設設定干焦保護 CUPS。對 Ubuntu 九孵空四開始，閣較濟專案（如 MySQL）已經安裝矣設定檔。佇咧 Ubuntu 九九一空中，AppArmor 的功能不斷得著改進，因為伊提供了客戶對談、libvirt 虛擬機器、Evince 文件檢視器的設定檔。伊閣提供一个可選的 Firefox 的設定檔。<br /> <br /> AppArmor 頭一改予人整合著 Linux 核心中是佇二空一空年十月的二嬸六 . 三十六版本。<br /> <br /> 二空一四年，AppArmor 已經整合著矣 Synology 的 DSM 五孵一 Beta 中。<br /> <br /> ==參見==<br /> <br /> * LIDS<br /> * Systrace<br /> * Grsecurity<br /> <br /> ==參考文獻==<br /> <br /> ==外部連結==<br /> <br /> * AppArmor Wiki（存檔）<br /> * AppArmor openSUSE 百科內底的一寡評論（英文）<br /> * LKML thread 包括一寡著 AppArmor 的評論佮評價（英文）<br /> * Ubuntu 百科中相關的條目（英文）<br /> * Arch Linux 百科中相關的條目（英文）<br /> * Counterpoint : 原標題：Novell and Red Hat security experts face off on AppArmor and SELinux（英文）<br /> * AppArmor Application Security for Linux（英文）<br /> <br /> [[分類: 待校正]]</div>

TaiwanTonguesApiRobot