AppArmor
Was ist AppArmor?
AppArmorPfadbasiertes Mandatory-Access-Control-System fuer Linux; Ubuntu und SUSE setzen es als einfachere Alternative zu SELinux ein, um einzelne Programme einzuschraenken.
AppArmor ist ein Linux Security Module, das Mandatory Access Control ueber programmweise Profile durchsetzt, die in Dateipfaden, Capabilities und Netzwerkprimitiven formuliert werden statt in Inode-Labels wie bei SELinux. Es entstammt Immunix, wird von SUSE und Canonical gepflegt und ist seit Ende der 2000er das Standard-MAC-Framework in Ubuntu und openSUSE. Profile liegen unter /etc/apparmor.d und koennen im Enforce- oder Complain-Modus geladen werden; Werkzeuge wie aa-genprof, aa-logprof und aa-easyprof unterstuetzen die Erstellung. Das pfadbasierte Design ist in der Regel leichter zu schreiben und zu auditieren als SELinux-Policy, hat aber eine schwaechere Semantik bei Renames, Bind-Mounts und Chroots. AppArmor wird von snapd, libvirt, LXD, Firefox und vielen Distro-Paketen genutzt.
● Beispiele
- 01
Ubuntu liefert AppArmor-Profile fuer Firefox, MySQL und Evince standardmaessig aus.
- 02
snapd nutzt AppArmor (zusammen mit seccomp), um jedes installierte Snap einzuschraenken.
● Häufige Fragen
Was ist AppArmor?
Pfadbasiertes Mandatory-Access-Control-System fuer Linux; Ubuntu und SUSE setzen es als einfachere Alternative zu SELinux ein, um einzelne Programme einzuschraenken. Es gehört zur Kategorie Kryptografie der Cybersicherheit.
Was bedeutet AppArmor?
Pfadbasiertes Mandatory-Access-Control-System fuer Linux; Ubuntu und SUSE setzen es als einfachere Alternative zu SELinux ein, um einzelne Programme einzuschraenken.
Wie funktioniert AppArmor?
AppArmor ist ein Linux Security Module, das Mandatory Access Control ueber programmweise Profile durchsetzt, die in Dateipfaden, Capabilities und Netzwerkprimitiven formuliert werden statt in Inode-Labels wie bei SELinux. Es entstammt Immunix, wird von SUSE und Canonical gepflegt und ist seit Ende der 2000er das Standard-MAC-Framework in Ubuntu und openSUSE. Profile liegen unter /etc/apparmor.d und koennen im Enforce- oder Complain-Modus geladen werden; Werkzeuge wie aa-genprof, aa-logprof und aa-easyprof unterstuetzen die Erstellung. Das pfadbasierte Design ist in der Regel leichter zu schreiben und zu auditieren als SELinux-Policy, hat aber eine schwaechere Semantik bei Renames, Bind-Mounts und Chroots. AppArmor wird von snapd, libvirt, LXD, Firefox und vielen Distro-Paketen genutzt.
Wie schützt man sich gegen AppArmor?
Schutzmaßnahmen gegen AppArmor kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für AppArmor?
Übliche alternative Bezeichnungen: AA.
● Verwandte Begriffe
- cryptography№ 1006
SELinux
Security-Enhanced Linux, ein von der NSA entwickeltes Mandatory-Access-Control-Framework, das ueber die Linux-Security-Module-Hooks und eine Type-Enforcement-Policy umgesetzt wird.
- cryptography№ 979
seccomp
Linux-Kernel-Funktion zur Einschraenkung der Systemaufrufe eines Prozesses; der moderne seccomp-BPF/eBPF-Modus erlaubt feingranulare Pro-Syscall-Filter.
- identity-access№ 652
Verbindliche Zugriffskontrolle (MAC)
Zugriffsmodell, in dem eine zentrale Richtlinie – nicht der Ressourceneigentümer – Entscheidungen anhand von Klassifizierungen und Freigaben für Subjekte und Objekte durchsetzt.
- cloud-security№ 213
Container-Sicherheit
Die Praxis, Container-Images, Registries, Orchestratoren und die Laufzeitumgebung, in der Container ausgeführt werden, abzusichern.
● Siehe auch
- № 120BPF LSM