AppArmor

AppArmor
Vývojář	Novell, Canonical a Immunix
Aktuální verze	3.1.7 (2. února 2024)
Vyvíjeno v	C, Perl a Python
Typ softwaru	Linux Security Module a otevřený software
Licence	GNU General Public License
Web	apparmor.net
	Některá data mohou pocházet z datové položky.

AppArmor je v informatice rozšíření jádra Linuxu o mandatorní řízení přístupu sloužící ke zvýšení počítačové bezpečnosti. AppArmor umožňuje definovat oprávnění k provedení určité operace na úrovni jednotlivých procesů v závislosti na umístění spustitelného souboru tím, že na kritická místa jádra umisťuje volání svých kontrolních rutin. Tím dochází ke zvýšení režie systému, avšak je možné zabránit programu, aby provedl potenciálně nebezpečnou akci, která může vést k narušení bezpečnosti (včetně elevace oprávnění).

Historie

AppArmor je technologie založena na práci firmy Immunix, která byla koupena společností Novell v květnu roku 2005. Projekt AppArmor je open-source pod licencí GPL. Hlavním cílem tohoto projektu je zvýšení bezpečnosti aplikací v Linuxu. AppArmor umožňuje ochranu před viry a jiným malware. Nechybí ani ochrana proti vnějším útokům (například v rámci interní sítě). Systém AppArmor byl implementován do komerčních verzí Linuxu od Novellu. Jeho jádro je nyní i k dispozici pod licenci GPL.

Funkce

AppArmor je při startu spouštěn automaticky. Ihned po něm načte profily a kontroluje veškerou činnost jak aplikací, tak i uživatelů samotných. Je monitorována komunikace mezi procesy a uživatelem, detekují se chyby a případná ohrožení systému. Vedle SELinuxu je to další ze způsobů, jak zvýšit bezpečnost aplikací v Linuxových systémech.^[1] Funkce je založena na vytvoření profilů s oprávněním pro jednotlivé aplikace (nebo jejich skupiny) a pokud se útočníkovi podaří do takovéhoto profilu dostat, bude i tak mít problém systém poškodit. Lze také administrátorsky vymezit, s jakými soubory smí aplikace pracovat a s jakými ne. Tímto lze předejít kompromitaci aplikací běžících s právy administrátora.

Open-source

Výhodou projektu je, že je open-source (software s otevřeným zdrojovým kódem), což znamená, že je možné využít jeho zdrojový kód (upravovat, prohlížet…). Je možné ho snadno rozšiřovat a každý může přispět svým zdrojovým kódem k vylepšení.

Podobný software

Existují i jiné, podobné nástroje jako je AppArmor. Velmi často je s ním srovnáván SELinux. AppArmor však nezatěžuje systém svým během tak jako SELinux (SELinux zbrzdí výkon systému až o asi 7 %, kdežto AppArmor jen o 1-2 %.^[2]

Výhody

Poměrně jednoduchá administrace.
Způsob aktivního zabezpečení před potenciálními hrozbami.
Možnost ručně měnit profil za běhu systému.
Možnost spouštět neznámé programy a sledovat jejich chování v zabezpečeném módu.

Nevýhody

Menší uživatelská přívětivost (občasná potřeba obnovit profil).
Složité nacházení příčin nefunkčnosti.
Bez nabídky možností při běhu programu (nutnost upravit profil EX POST).
Neexistence grafické nadstavby (stav v Ubuntu).

Seznam přístupových práv

čtení: r
zápis: w
připojení dat: a
zamknutí souboru: k
spuštění programu v případě, že má aktivní profil: px
stejné jako u "px", jen nepředává systémové proměnné: Px
bezpodmínečné spuštění programu: ux
stejné jako u "ux", jen nepředává systémové proměnné: Ux
spuštění programu ve stejném prostředí a se stejnými omezeními jaké má původní program: ix
vytváření pevných odkazů: I
umožňuje mapovat spustitelná data do paměti: m

Odkazy

Související články

Reference

↑ "Novell uvolňuje bezpečnostní řešení AppArmor pro Linux jako open-source", živě.cz, 29. 8. 2011
↑ "Novell delivers security shield for Linux computers", news.cnet.com, 29. 8. 2011

Externí odkazy

Slovníkové heslo AppArmor ve Wikislovníku
Ubuntu - AppArmor
Josef Kyrian - odstranění AppArmor Archivováno 13. 5. 2010 na Wayback Machine.
AppArmor vs. iptables – blokování sítě
AppArmor bude součástí jádra 2.6.36

[1] "Novell uvolňuje bezpečnostní řešení AppArmor pro Linux jako open-source", živě.cz, 29. 8. 2011

[2] "Novell delivers security shield for Linux computers", news.cnet.com, 29. 8. 2011

[1]

[2]