AppArmor
Qu'est-ce que AppArmor ?
AppArmorSysteme de controle d'acces obligatoire base sur les chemins pour Linux, utilise par Ubuntu et SUSE comme alternative plus simple a SELinux pour confiner les programmes.
AppArmor est un Linux Security Module qui applique un controle d'acces obligatoire grace a des profils par programme exprimes en termes de chemins de fichiers, de capabilities et de primitives reseau, plutot qu'avec des etiquettes d'inode comme SELinux. Issu d'Immunix, maintenu par SUSE et Canonical, AppArmor est le cadre MAC par defaut d'Ubuntu et openSUSE depuis la fin des annees 2000. Les profils se trouvent dans /etc/apparmor.d et peuvent etre charges en mode enforce ou complain, avec des outils comme aa-genprof, aa-logprof et aa-easyprof. Sa conception par chemins est plus facile a ecrire et a auditer que SELinux, au prix d'une semantique plus faible vis-a-vis des renommages, bind mounts et chroots. AppArmor est utilise par snapd, libvirt, LXD, Firefox et de nombreux paquets de distribution.
● Exemples
- 01
Ubuntu fournit par defaut des profils AppArmor pour Firefox, MySQL et Evince.
- 02
snapd utilise AppArmor (et seccomp) pour confiner chaque paquet snap installe.
● Questions fréquentes
Qu'est-ce que AppArmor ?
Systeme de controle d'acces obligatoire base sur les chemins pour Linux, utilise par Ubuntu et SUSE comme alternative plus simple a SELinux pour confiner les programmes. Cette notion relève de la catégorie Cryptographie en cybersécurité.
Que signifie AppArmor ?
Systeme de controle d'acces obligatoire base sur les chemins pour Linux, utilise par Ubuntu et SUSE comme alternative plus simple a SELinux pour confiner les programmes.
Comment fonctionne AppArmor ?
AppArmor est un Linux Security Module qui applique un controle d'acces obligatoire grace a des profils par programme exprimes en termes de chemins de fichiers, de capabilities et de primitives reseau, plutot qu'avec des etiquettes d'inode comme SELinux. Issu d'Immunix, maintenu par SUSE et Canonical, AppArmor est le cadre MAC par defaut d'Ubuntu et openSUSE depuis la fin des annees 2000. Les profils se trouvent dans /etc/apparmor.d et peuvent etre charges en mode enforce ou complain, avec des outils comme aa-genprof, aa-logprof et aa-easyprof. Sa conception par chemins est plus facile a ecrire et a auditer que SELinux, au prix d'une semantique plus faible vis-a-vis des renommages, bind mounts et chroots. AppArmor est utilise par snapd, libvirt, LXD, Firefox et de nombreux paquets de distribution.
Comment se défendre contre AppArmor ?
Les défenses contre AppArmor combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de AppArmor ?
Noms alternatifs courants : AA.
● Termes liés
- cryptography№ 1006
SELinux
Security-Enhanced Linux, cadre MAC developpe par la NSA, mis en oeuvre via les hooks LSM et une politique de type enforcement.
- cryptography№ 979
seccomp
Fonctionnalite du noyau Linux qui restreint les appels systeme autorises a un processus ; le mode moderne seccomp-BPF/eBPF offre des filtres fins par syscall.
- identity-access№ 652
Contrôle d'accès obligatoire (MAC)
Modèle de contrôle d'accès dans lequel une politique centrale — et non le propriétaire de la ressource — impose les décisions à partir des classifications et habilitations des sujets et objets.
- cloud-security№ 213
Sécurité des conteneurs
Ensemble de pratiques visant à sécuriser les images de conteneur, les registres, les orchestrateurs et le runtime qui exécute les conteneurs.
● Voir aussi
- № 120BPF LSM