AppArmor

AppArmor je v informatice rozšíření jádra Linuxu o mandatorní řízení přístupu sloužící ke zvýšení počítačové bezpečnosti. AppArmor umožňuje definovat oprávnění k provedení určité operace na úrovni jednotlivých procesů v závislosti na umístění spustitelného souboru tím, že na kritická místa jádra umisťuje volání svých kontrolních rutin. Tím dochází ke zvýšení režie systému, avšak je možné zabránit programu, aby provedl potenciálně nebezpečnou akci, která může vést k narušení bezpečnosti (včetně elevace oprávnění).

AppArmor
VývojářNovell, Canonical a Immunix
Aktuální verze3.0.1 (2. prosince 2020)
Vyvíjeno vC, Perl a Python
Typ softwaruLinux Security Module
LicenceGNU General Public License
Některá data mohou pocházet z datové položky.

Historie

AppArmor je technologie založena na práci firmy Immunix, která byla koupena společností Novell v květnu roku 2005. Projekt AppArmor je open-source pod licencí GPL. Hlavním cílem tohoto projektu je zvýšení bezpečnosti aplikací v Linuxu. AppArmor umožňuje ochranu před viry a jiným malware. Nechybí ani ochrana proti vnějším útokům (například v rámci interní sítě). Systém AppArmor byl implementován do komerčních verzí Linuxu od Novellu. Jeho jádro je nyní i k dispozici pod licenci GPL.

Funkce

AppArmor je při startu spouštěn automaticky. Ihned po něm načte profily a kontroluje veškerou činnost jak aplikací, tak i uživatelů samotných. Je monitorována komunikace mezi procesy a uživatelem, detekují se chyby a případná ohrožení systému. Vedle SELinuxu je to další ze způsobů, jak zvýšit bezpečnost aplikací v Linuxových systémech.[1] Funkce je založena na vytvoření profilů s oprávněním pro jednotlivé aplikace (nebo jejich skupiny) a pokud se útočníkovi podaří do takovéhoto profilu dostat, bude i tak mít problém systém poškodit. Lze také administrátorsky vymezit, s jakými soubory smí aplikace pracovat a s jakými ne. Tímto lze předejít kompromitaci aplikací běžících s právy administrátora.

Open-source

Výhodou projektu je, že je open-source (software s otevřeným zdrojovým kódem), což znamená, že je možné využít jeho zdrojový kód (upravovat, prohlížet…). Je možné ho snadno rozšiřovat a každý může přispět svým zdrojovým kódem k vylepšení.

Podobný software

Existují i jiné, podobné nástroje jako je AppArmor. Velmi často je s ním srovnáván SELinux. AppArmor však nezatěžuje systém svým během tak jako SELinux (SELinux zbrzdí výkon systému až o asi 7 %, kdežto AppArmor jen o 1-2 %.[2]

Výhody

  • Poměrně jednoduchá administrace.
  • Způsob aktivního zabezpečení před potenciálními hrozbami.
  • Možnost ručně měnit profil za běhu systému.
  • Možnost spouštět neznámé programy a sledovat jejich chování v zabezpečeném módu.

Nevýhody

  • Menší uživatelská přívětivost (občasná potřeba obnovit profil).
  • Složité nacházení příčin nefunkčnosti.
  • Bez nabídky možností při běhu programu (nutnost upravit profil EX POST).
  • Neexistence grafické nadstavby (stav v Ubuntu).

Seznam přístupových práv

  • čtení: r
  • zápis: w
  • připojení dat: a
  • zamknutí souboru: k
  • spuštění programu v případě, že má aktivní profil: px
  • stejné jako u "px", jen nepředává systémové proměnné: Px
  • bezpodmínečné spuštění programu: ux
  • stejné jako u "ux", jen nepředává systémové proměnné: Ux
  • spuštění programu ve stejném prostředí a se stejnými omezeními jaké má původní program: ix
  • vytváření pevných odkazů: I
  • umožňuje mapovat spustitelná data do paměti: m

Odkazy

Související články

Reference

Externí odkazy

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.