AppArmor
A HupWiki-ből...
| AppArmor | |
|---|---|
 AppArmor a YaST-ban integrálva | |
| Címkék: | Linux, kernel, biztonság, LSM |
| Licenc: | GNU GPL |
| Weblap: | Az AppArmor honlapja |
Mi az az AppArmor?
Az AppArmor (Application Armor) egy GPL licenc alatt terjesztett biztonsági megoldás Linux kernelre épülő operációs rendszerek számára. Az AppArmor a Linux kernel Linux Security Modules interfészét használja. Az AppArmor lehetővé teszi a rendszeradminisztrátorok számára, hogy minden egyes programot olyan biztonsági profillal társítsanak, amely lekorlátozza az adott program erőforrásokhoz való hozzáférhetőségét, s így lehetővé teszi a lehető legkisebb privilégiumszintű futtatást. Az AppArmor kiegészíti a hagyományos Unix discretionary access control (DAC) modell-t azzal, hogy mandatory access control-t (MAC) biztosít.
2005-től 2007-ig az AppArmor-t a Novell tartotta karban. Az AppArmor-t eredetileg az linuxos biztonsági megoldások fejlesztésére szakosodott Immunix fejlesztette ki. A Novell 2005. májusában jelentette be, hogy megvásárolta az Immunix-et. 2007. szeptemberében a Novell elbocsátotta az AppArmor csapat nagy részét, de ettől függetlenül az AppArmor fejlesztői azt ígérték, hogy a fejlesztés nem fog leállni.
Az AppArmor célja
Az AppArmor célja, hogy megvédje a rendszert azoktól a támadásoktól, amelyek a rendszeren található alkalmazások hibáit akarják kihasználni. Az ilyen támadásokból adódó fenyegetés abban rejlik, hogy a támadó rossz esetben rá tudja venni az alkalmazást olyan viselkedésre, ami tőle váratlan és nemkívánatos. Az AppArmor úgy próbálja lekezeli ezt a problémát, hogy lekorlátozza az alkalmazások erőforrásokhoz való hozzáférhetőségét és kizárólag csak azokhoz az erőforrásokhoz engedi hozzáférni őket, amelyek feltétlenül szükségesek a megfelelő futásukhoz. Tulajdonképpen a "lehető legkisebb privilégiumszintű végrehajtásra" szorítja az alkalmazást.
Az alkalmazások számos erőforráshoz - file-okhoz, processzek közti kommunikációhoz (IPC), hálózatkezeléshez, más alkalmazások futtatásához, stb. - férhetnek hozzá. A "lehető legkisebb privilégiumszintű végrehajtás" célja, hogy korlátozza a rosszindulatú támadó (vagy kód) által okozható kárt azzal, hogy megakadályozza az alkalmazás összes olyan erőforráshoz való hozzáférhetőségét, amely nem szükséges az eredetileg tervezett működéséhez.
Az AppArmor megközelítésben egy "alkalmazás" egy vagy több olyan egymással kapcsolatban álló processzt jelent, amely azonos feladatot lát el. Ilyen például az Apache processzek csoportja, amely webkiszolgálási feladatot teljesít. Az AppArmor *csak* azokat a processzeket korlátozza, amelyekre az AppArmor policy rendelkezik, egyéb más processzek bármit megtehetnek, amire a DAC (Discretionary Access Control - önkényes hozzáférés-védelem) lehetőséget biztosít. Az AppArmor nem ad olyan alapértelmezett policy-t, amely minden processzre vonatkozik. Ha teljes egészében meg akarunk védeni egy hostot, akkor aprólékosan le kell korlátoznunk minden olyan processzt, amely potenciális támadásnak van kitéve.
