AppArmor

Материал из openSUSE.

Проект AppArmor

Обзор

Включённый в SUSE Linux AppArmor - это программный инструмент защиты, предназначенный для обеспечения простого в использовании каркаса защиты в приложениях. AppArmor упреждающе защищает операционную систему и приложения от внешних или внутренних угроз, а также "zero-day" атак, укрепляя хороший режим работы и даже предотвращая использование неизвестных уязвимостей. Стратегии защиты AppArmor, так называемые "профили", полностью определяют, к каким системным ресурсам и с какими привилегиями отдельные приложения могут обращаться. Набор стандартных профилей включён в AppArmor и, используя комбинацию усовершенствованных инструментов статического анализа и инструментов, основанных на обучении, профили AppArmor даже для очень сложных приложений могут быть успешно настроены в течение нескольких часов.

Детальное описание AppArmor доступно для обсуждения проблемы, для решения которой предназначен AppArmor, технологии и принципа решения, применённого в AppArmor.

Как получить программу

Пакеты AppArmor можно скачать со страницы AppArmor на Novell Forge, а пакеты rpm входят в SUSE Linux 10.1.

Интегрированные пакеты также включены в SUSE Linux Enterprise Server 9, Service Pack 3 (SLES9 SP3). (На данный момент эти пакеты находятся под лицензией с правом собственности автора ("Proprietary"); мы предоставим пакеты с обновлённой лицензией в 3 квартале 2006 года.)

AppArmor интегрирован в SUSE Linux

AppArmor состоит из:

• модуля ядра, поставляемого с ядром SUSE Linux, который приводит в исполнение профили защиты
• набор rpm пакетов, также поставляемых с SUSE Linux, которые предоставляют:
  • набор профилей для большого количества программ, которые поставляются с SUSE Linux
  • интсрументы для создания новых и управления существующими профилями AppArmor
  • интерфейс YaST для управления отчётами и оповещениями о событиях в системе защиты
  • документацию про инструменты AppArmor

Желательно перезагрузить систему по завершении установки, для того чтобы AppArmor смог ограничить все системные службы.

rpm пакеты AppArmor

Эти пакеты могут быть выбраны во время установки или позднее из интерфейса управления пакетами YaST.

 libapparmor
 apparmor-profiles
 apparmor-utils
 apparmor-parser
 yast2-apparmor
 apparmor-docs

Версия для разработчиков AppArmor

Для новых ознакомления с новыми свойствами страница AppArmor на Novell Forge размещает исходный текст для просмотра и обратной связи. Когда новые свойства стабилизируются и станут готовыми к интеграционному тестированию и использованию, они станут частью SUSE Linux.

Общение

Разработчики AppArmor доступны по почтовой рассылке openSUSE для ответа на вопросы. В дополнение существуют специальные почтовые рассылки для пользователей AppArmor, которые хотят присоединиться к разработчикам.

• apparmor-general@forge.novell.com - рассылка для пользователей AppArmor. Хорошее место для вопросов о том как использовать AppArmor для защиты приложений.
• apparmor-dev@forge.novell.com - рассылка для разработчиков. Рассылка для вопросов об основных свойствах AppArmor - модуле ядра, инструментах профилирования. Если вы заинтересованы в проверке кода AppArmor и предложении исправлений - это будет лучшим для этого местом.
• apparmor-announce@forge.novell.com - рассылка с малым потоком писем для объявления о новых выпусках или свойствах.

Участие

Всегда есть что-то, чем вы можете помочь: создание профилей AppArmor для приложений, которые вы используете, или отчёт о найденных вами ошибках - поможет сделать SUSE Linux более защищённой платформой.

Профили AppArmor

Дистрибутив SUSE Linux содержит интегрированные инструменты AppArmor и профили для защиты ваших приложений и создания новых профилей. Вы можете вносить новые профили для приложений, в которых вы заинтересованы, следуя рецепту создания новых профилей, или улучшать существующие профили. Этот процесс в деталях описан в секции 3.3 руководства администратора AppArmor.

Если у вас есть новые или модифицированные профили, вы можете их предоставить на рассылке apparmor-general@forge.novell.com вместе с заметками о поведении программы, с которым вы встретились. Команда AppArmor просмотрит и внедрит работу в SUSE Linux. Мы не можем гарантировать, что каждый профиль будет включен, но мы искренне приложим усилия, чтобы включить как можно больше, чтобы пользователи имели возможность вносить свой вклад в профили защиты, которые поставляются с SUSE Linux.

Исправление ошибок

Если вы столкнулись с проблемой инструмента AppArmor или профиля, можете использовать bugzilla (Product: SUSE LINUX X.Y, Component: AppArmor) для предоставления описания проблемы. Для совета о том, что более всего полезно для исправления ошибок, пожалуйста посмотрите Bugs:AppArmor.

Статьи

Хорошее описание и краткий обзор со снимками экрана: Protect your applications with AppArmor.
Linux Magazine сравнение AppArmor и SELinux: Linux Magazine Issue 69: August 2006.
eWeek's сравнение AppArmor и SELinux: Wield the Shield: How Trustworthy Is Your OS?