AppArmor
Что такое AppArmor?
AppArmorСистема обязательного контроля доступа для Linux на основе путей; в Ubuntu и SUSE применяется как более простая альтернатива SELinux для ограничения отдельных программ.
AppArmor — это Linux Security Module, реализующий обязательный контроль доступа через профили на каждую программу, описанные в терминах путей, capability и сетевых примитивов, а не меток inode, как в SELinux. Появился в Immunix, сопровождается SUSE и Canonical и с конца 2000-х годов является стандартным MAC-фреймворком в Ubuntu и openSUSE. Профили лежат в /etc/apparmor.d и загружаются в режимах enforce или complain; вспомогательные утилиты — aa-genprof, aa-logprof, aa-easyprof. Путевой подход обычно проще писать и аудировать, чем политики SELinux, но имеет более слабую семантику при переименованиях, bind-монтированиях и chroot. AppArmor применяется в snapd, libvirt, LXD, Firefox и во многих дистрибутивных пакетах.
● Примеры
- 01
Ubuntu по умолчанию поставляет профили AppArmor для Firefox, MySQL и Evince.
- 02
snapd использует AppArmor (вместе с seccomp) для изоляции каждого установленного snap.
● Частые вопросы
Что такое AppArmor?
Система обязательного контроля доступа для Linux на основе путей; в Ubuntu и SUSE применяется как более простая альтернатива SELinux для ограничения отдельных программ. Относится к категории Криптография в кибербезопасности.
Что означает AppArmor?
Система обязательного контроля доступа для Linux на основе путей; в Ubuntu и SUSE применяется как более простая альтернатива SELinux для ограничения отдельных программ.
Как работает AppArmor?
AppArmor — это Linux Security Module, реализующий обязательный контроль доступа через профили на каждую программу, описанные в терминах путей, capability и сетевых примитивов, а не меток inode, как в SELinux. Появился в Immunix, сопровождается SUSE и Canonical и с конца 2000-х годов является стандартным MAC-фреймворком в Ubuntu и openSUSE. Профили лежат в /etc/apparmor.d и загружаются в режимах enforce или complain; вспомогательные утилиты — aa-genprof, aa-logprof, aa-easyprof. Путевой подход обычно проще писать и аудировать, чем политики SELinux, но имеет более слабую семантику при переименованиях, bind-монтированиях и chroot. AppArmor применяется в snapd, libvirt, LXD, Firefox и во многих дистрибутивных пакетах.
Как защититься от AppArmor?
Защита от AppArmor обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия AppArmor?
Распространённые альтернативные названия: AA.
● Связанные термины
- cryptography№ 1006
SELinux
Security-Enhanced Linux — фреймворк обязательного контроля доступа, разработанный АНБ США и реализованный через LSM-хуки и политику type enforcement.
- cryptography№ 979
seccomp
Механизм ядра Linux, ограничивающий набор системных вызовов процесса; современный режим seccomp-BPF/eBPF позволяет задавать тонкие фильтры на каждый syscall.
- identity-access№ 652
Обязательный контроль доступа (MAC)
Модель контроля доступа, при которой централизованная политика — а не владелец ресурса — принимает решения на основе классификаций и допусков субъектов и объектов.
- cloud-security№ 213
Безопасность контейнеров
Практика защиты образов контейнеров, реестров, оркестраторов и среды выполнения, в которой контейнеры исполняются.
● См. также
- № 120BPF LSM