AppArmor
(c) Noah Davis, CC BY-SA 4.0 | |
Vývojář | Novell, Canonical a Immunix |
---|---|
Aktuální verze | 3.1.7 (2. února 2024) |
Vyvíjeno v | C, Perl a Python |
Typ softwaru | Linux Security Module a otevřený software |
Licence | GNU General Public License |
Web | apparmor |
Některá data mohou pocházet z datové položky. |
AppArmor je v informatice rozšíření jádra Linuxu o mandatorní řízení přístupu sloužící ke zvýšení počítačové bezpečnosti. AppArmor umožňuje definovat oprávnění k provedení určité operace na úrovni jednotlivých procesů v závislosti na umístění spustitelného souboru tím, že na kritická místa jádra umisťuje volání svých kontrolních rutin. Tím dochází ke zvýšení režie systému, avšak je možné zabránit programu, aby provedl potenciálně nebezpečnou akci, která může vést k narušení bezpečnosti (včetně elevace oprávnění).
Historie
AppArmor je technologie založena na práci firmy Immunix, která byla koupena společností Novell v květnu roku 2005. Projekt AppArmor je open-source pod licencí GPL. Hlavním cílem tohoto projektu je zvýšení bezpečnosti aplikací v Linuxu. AppArmor umožňuje ochranu před viry a jiným malware. Nechybí ani ochrana proti vnějším útokům (například v rámci interní sítě). Systém AppArmor byl implementován do komerčních verzí Linuxu od Novellu. Jeho jádro je nyní i k dispozici pod licenci GPL.
Funkce
AppArmor je při startu spouštěn automaticky. Ihned po něm načte profily a kontroluje veškerou činnost jak aplikací, tak i uživatelů samotných. Je monitorována komunikace mezi procesy a uživatelem, detekují se chyby a případná ohrožení systému. Vedle SELinuxu je to další ze způsobů, jak zvýšit bezpečnost aplikací v Linuxových systémech.[1] Funkce je založena na vytvoření profilů s oprávněním pro jednotlivé aplikace (nebo jejich skupiny) a pokud se útočníkovi podaří do takovéhoto profilu dostat, bude i tak mít problém systém poškodit. Lze také administrátorsky vymezit, s jakými soubory smí aplikace pracovat a s jakými ne. Tímto lze předejít kompromitaci aplikací běžících s právy administrátora.
Open-source
Výhodou projektu je, že je open-source (software s otevřeným zdrojovým kódem), což znamená, že je možné využít jeho zdrojový kód (upravovat, prohlížet…). Je možné ho snadno rozšiřovat a každý může přispět svým zdrojovým kódem k vylepšení.
Podobný software
Existují i jiné, podobné nástroje jako je AppArmor. Velmi často je s ním srovnáván SELinux. AppArmor však nezatěžuje systém svým během tak jako SELinux (SELinux zbrzdí výkon systému až o asi 7 %, kdežto AppArmor jen o 1-2 %.[2]
Výhody
- Poměrně jednoduchá administrace.
- Způsob aktivního zabezpečení před potenciálními hrozbami.
- Možnost ručně měnit profil za běhu systému.
- Možnost spouštět neznámé programy a sledovat jejich chování v zabezpečeném módu.
Nevýhody
- Menší uživatelská přívětivost (občasná potřeba obnovit profil).
- Složité nacházení příčin nefunkčnosti.
- Bez nabídky možností při běhu programu (nutnost upravit profil EX POST).
- Neexistence grafické nadstavby (stav v Ubuntu).
Seznam přístupových práv
- čtení: r
- zápis: w
- připojení dat: a
- zamknutí souboru: k
- spuštění programu v případě, že má aktivní profil: px
- stejné jako u "px", jen nepředává systémové proměnné: Px
- bezpodmínečné spuštění programu: ux
- stejné jako u "ux", jen nepředává systémové proměnné: Ux
- spuštění programu ve stejném prostředí a se stejnými omezeními jaké má původní program: ix
- vytváření pevných odkazů: I
- umožňuje mapovat spustitelná data do paměti: m
Odkazy
Související články
Reference
- ↑ "Novell uvolňuje bezpečnostní řešení AppArmor pro Linux jako open-source", živě.cz, 29. 8. 2011
- ↑ "Novell delivers security shield for Linux computers", news.cnet.com, 29. 8. 2011
Externí odkazy
- Slovníkové heslo AppArmor ve Wikislovníku
- Ubuntu - AppArmor
- Josef Kyrian - odstranění AppArmor Archivováno 13. 5. 2010 na Wayback Machine.
- AppArmor vs. iptables – blokování sítě
- AppArmor bude součástí jádra 2.6.36