AppArmor
O que é AppArmor?
AppArmorSistema de controlo de acesso obrigatorio para Linux baseado em caminhos, usado por Ubuntu e SUSE como alternativa mais simples ao SELinux para confinar programas.
O AppArmor e um Linux Security Module que impoe controlo de acesso obrigatorio via perfis por programa expressos em caminhos de ficheiro, capabilities e primitivas de rede, em vez das etiquetas de inode usadas pelo SELinux. Originario do Immunix e mantido por SUSE e Canonical, e o framework MAC padrao em Ubuntu e openSUSE desde o final da decada de 2000. Os perfis ficam em /etc/apparmor.d e podem ser carregados em modo enforce ou complain, com ferramentas como aa-genprof, aa-logprof e aa-easyprof. O desenho baseado em caminhos costuma ser mais facil de escrever e auditar do que politicas SELinux, a custo de semantica mais fraca em renomeacoes, bind mounts e chroots. AppArmor e usado pelo snapd, libvirt, LXD, Firefox e por muitos pacotes de distribuicoes.
● Exemplos
- 01
O Ubuntu disponibiliza por omissao perfis AppArmor para Firefox, MySQL e Evince.
- 02
O snapd usa AppArmor (com seccomp) para confinar cada snap instalado.
● Perguntas frequentes
O que é AppArmor?
Sistema de controlo de acesso obrigatorio para Linux baseado em caminhos, usado por Ubuntu e SUSE como alternativa mais simples ao SELinux para confinar programas. Pertence à categoria Criptografia da cibersegurança.
O que significa AppArmor?
Sistema de controlo de acesso obrigatorio para Linux baseado em caminhos, usado por Ubuntu e SUSE como alternativa mais simples ao SELinux para confinar programas.
Como funciona AppArmor?
O AppArmor e um Linux Security Module que impoe controlo de acesso obrigatorio via perfis por programa expressos em caminhos de ficheiro, capabilities e primitivas de rede, em vez das etiquetas de inode usadas pelo SELinux. Originario do Immunix e mantido por SUSE e Canonical, e o framework MAC padrao em Ubuntu e openSUSE desde o final da decada de 2000. Os perfis ficam em /etc/apparmor.d e podem ser carregados em modo enforce ou complain, com ferramentas como aa-genprof, aa-logprof e aa-easyprof. O desenho baseado em caminhos costuma ser mais facil de escrever e auditar do que politicas SELinux, a custo de semantica mais fraca em renomeacoes, bind mounts e chroots. AppArmor e usado pelo snapd, libvirt, LXD, Firefox e por muitos pacotes de distribuicoes.
Como se defender contra AppArmor?
As defesas contra AppArmor costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para AppArmor?
Nomes alternativos comuns: AA.
● Termos relacionados
- cryptography№ 1006
SELinux
Security-Enhanced Linux, framework de controlo de acesso obrigatorio desenvolvido pela NSA, implementado via hooks LSM e politica de type enforcement.
- cryptography№ 979
seccomp
Funcionalidade do kernel Linux que restringe as chamadas de sistema permitidas a um processo; o moderno seccomp-BPF/eBPF permite filtros finos por syscall.
- identity-access№ 652
Controlo de Acesso Obrigatório (MAC)
Modelo de controlo de acesso em que uma política central — e não o proprietário do recurso — impõe decisões a partir de classificações e habilitações atribuídas a sujeitos e objetos.
- cloud-security№ 213
Segurança de contentores
Prática de proteger imagens de contentor, registos, orquestradores e o runtime onde os contentores são executados.
● Veja também
- № 120BPF LSM