跳至內容

AppArmor

出自Taiwan Tongues 台語維基
於 2025年8月24日 (日) 06:21 由 TaiwanTonguesApiRobot留言 | 貢獻 所做的修訂 (從 JSON 檔案批量匯入)

(差異) ←上個修訂 | 已批准修訂 (差異) | 最新修訂 (差異) | 下個修訂→ (差異)

AppArmor(「 Application Armor」,意為「應用盔甲」)是一个 Linux 核心安全模組,允准系統管理員通過每一个程式的設定檔限制程式的功能。較伊的幫助頁面咧講,「 AppArmor 是一个對核心的增強工具,共程式限制佇一个有限的資源集合中。AppArmor 特殊的安全模型將對存取屬性的控制結合到程式毋是使用者。」

AppArmor 通過提供強制存取控制(MAC)來補充傳統的 Unix 自主存取控制(DAC)模型。對 Linux 核心的二交六 . 三十六版本開始,伊已經包含佇主流分支中,而且自二空空九年伊的開發會著矣 Canonical 公司的支援。

功能特性

AppArmor 對相關程式的約束佮控制通過 apparmor \ _ parser 載去到核心的設定檔來提供,這一般通過 / etc / init . d / apparmor 中的 SysV initscript,如:

AppArmor 會當用兩種模式來執行:執行(enforcement)模式抑是學習(complain / learning)模式:

  • 執行模式-載入的設定檔中定義的策略將會予執行,並且會向 syslogd 報告違規試看覓。
  • 學習-以「學習」模式載入的設定檔袂執行策略。伊干焦會報告違反策略的試驗。這種模式對開發設定檔真方便。利用這款模式會當根據各個程式針對性地生成設定檔。

AppArmor 是使用 Linux 安全模組(LSM)核心介面實現的。 佇二空空九年,Linux 二孵六 . 三十中包含一个名為 Tomoyo 的新解決方案;像 AppArmor 仝款,伊嘛使用佇路徑的存取控制。

仝 SELinux 的異同

AppArmor 來做這个 SELinux 的替代品出現的,因為著 SELinux 的批評者認為伊真歹予管理員設定佮維護。佮頂頭的標籤應用來做案件的 SELinux 無仝,AppArmor 使用檔案路徑來確認檔案。AppArmor 的支持者聲稱,伊對普通使用者來講愛比 SELinux 閣較簡單、閣較𠢕學習。𪜶認為講 AppArmor 對現有系統的要求較低:比如講 SELinux 需要支援「安全標籤」的檔案系統,所以無法度為著通過 NFS 掛載的檔案提供存取控制。AppArmor 著檔案系統無要求。

但是無論按怎,這兩个軟體產品著予管理員加強系統的安全性攏誠有幫助。𪜶攏專注存取控制,強化了標準的 Linux 存取控制策略。𪜶攏有生紀錄檔,並且提供審計活動的工具。𪜶攏佇咧應用程式層內作穡。對技術上講,𪜶是平平使用 LSM 佮 Linux 核心進行互動。𪜶允准彼管理員使用 GUI 佮非 GUI 工具。最後咧,𪜶攏允准管理員佇咧無真正阻止存取的情況下試看覓策略(干焦是警告), 通好閣兼佇咧數量的測試了後才應用安全加固策略。

SELinux 和 AppArmor 的無仝主要體這馬管理方式佮整合方式上。比如講一个重要的區別:SELinux 通過 inode 編號毋是路徑標識檔案系統物件。這意味著若是予一个無法度存取的檔案建立了硬連結,佇咧 AppArmor 中伊共會當存取,猶毋過 SELinux 通過新建立的硬連結猶原會拒絕存取—— 由 inode 參照的基礎資料是相𫝛的。另外咧,佇咧文件數量頂頭 AppArmor 愛比 SELinux 略略仔一籌,這意思網路頂走揣解決方案的難易程度平平有所謂。

歷史

AppArmor 佇一千九百九十八 ~ 二空空三年首先佇 Immunix Linux 中予人使用。彼當陣,AppArmor 予人叫做是 SubDomain,這个名意佇咧共特定程式的安全設定檔分割著無仝的域,而程式會當動態地佇咧無仝款的域中進行切換。AppArmor 首先咧 SLES 和 openSUSE 中可用,並且佇咧 SLES 十和 openSUSE 十二一中預設起先啟用。

二空空五年五月,Novell 收購矣 Immunix 並將 SubDomain 重號名做 AppArmor,並開始著其實 Linux 核心進行代碼清理佮重寫。對二空空五年到二空空七年九月,AppArmor 由 Novell 維護。自彼陣仔起,SUSE 就是商標名 AppArmor 的合法所有的人。

AppArmor 佇二空空七年四月頭一擺成功移植並拍包於 Ubuntu。伊成做 Ubuntu 七孵一空版本的預設軟體套件,閣最終作為 Ubuntu 八堵空四發行版的一部份,預設設定干焦保護 CUPS。對 Ubuntu 九孵空四開始,閣較濟專案(如 MySQL)已經安裝矣設定檔。佇咧 Ubuntu 九九一空中,AppArmor 的功能不斷得著改進,因為伊提供了客戶對談、libvirt 虛擬機器、Evince 文件檢視器的設定檔。伊閣提供一个可選的 Firefox 的設定檔。

AppArmor 頭一改予人整合著 Linux 核心中是佇二空一空年十月的二嬸六 . 三十六版本。

二空一四年,AppArmor 已經整合著矣 Synology 的 DSM 五孵一 Beta 中。

參見

  • LIDS
  • Systrace
  • Grsecurity

參考文獻

外部連結

  • AppArmor Wiki(存檔)
  • AppArmor openSUSE 百科內底的一寡評論(英文)
  • LKML thread 包括一寡著 AppArmor 的評論佮評價(英文)
  • Ubuntu 百科中相關的條目(英文)
  • Arch Linux 百科中相關的條目(英文)
  • Counterpoint : 原標題:Novell and Red Hat security experts face off on AppArmor and SELinux(英文)
  • AppArmor Application Security for Linux(英文)
取自「https://wiki.taigi.ima.org.tw/w/index.php?title=AppArmor&oldid=492409