AppArmor

Z Wikipedie, otevřené encyklopedie
Skočit na: Navigace, Hledání

AppArmor je v informatice rozšíření jádra Linuxu o mandatorní řízení přístupu sloužící ke zvýšení počítačové bezpečnosti. AppArmor umožňuje definovat oprávnění k provedení určité operace na úrovni jednotlivých procesů v závislosti na umístění spustitelného souboru tím, že na kritická místa jádra umisťuje volání svých kontrolních rutin. Tím dochází ke zvýšení režie systému, avšak je možné zabránit programu, aby provedl potenciálně nebezpečnou akci, která může vést k narušení bezpečnosti (včetně elevace oprávnění).

Historie[editovat | editovat zdroj]

AppArmor je technologie založena na práci firmy Immunix, která byla koupena společností Novell v květnu roku 2005. Projekt AppArmor je open-source pod licencí GPL. Hlavním cílem tohoto projektu je zvýšení bezpečnosti aplikací v Linuxu. AppArmor umožňuje ochranu před viry a jiným malware. Nechybí ani ochrana proti vnějším útokům (například v rámci interní sítě). Systém AppArmor byl implementován do komerčních verzí Linuxu od Novellu. Jeho jádro je nyní i k dispozici pod licenci GPL.

Funkce[editovat | editovat zdroj]

AppArmor je při startu spouštěn automaticky. Ihned po něm načte profily a kontroluje veškerou činnost jak aplikací, tak u uživatelů samotných. Je monitorována komunikace mezi procesy a uživatelem, detekují se chyby a případná ohrožení systému. Vedle SELinuxu je to další ze způsobů, jak zvýšit bezpečnost aplikací v Linuxových systémech.[1] Funkce je založena na vytvoření profilů s oprávněním pro jednotlivé aplikace (nebo jejich skupiny) a pokud se útočníkovi podaří do takovéhoto profilu dostat, bude i tak mít problém systém poškodit. Lze také administrátorsky vymezit, s jakými soubory smí aplikace pracovat a s jakými ne. Tímto lze předejít kompromitaci aplikací běžících s právy administrátora.

Open-source[editovat | editovat zdroj]

Výhodou projektu je, že je open-source (software s otevřeným zdrojovým kódem), což znamená, že je možné využít jeho zdrojový kód (upravovat, prohlížet…). Je možné ho snadno rozšiřovat a každý může přispět svým zdrojovým kódem k vylepšení.

Podobný software[editovat | editovat zdroj]

Existují i jiné, podobné nástroje jako je AppArmor. Velmi často je s ním srovnáván SELinux. AppArmor však nezatěžuje systém svým během tak jako SELinux (SELinux zbrzdí výkon systému až o asi 7 %, kdežto AppArmor jen o 1-2 %.[2]

Výhody[editovat | editovat zdroj]

  • Poměrně jednoduchá administrace.
  • Způsob aktivního zabezpečení před potenciálními hrozbami.
  • Možnost ručně měnit profil za běhu systému.
  • Možnost pouštět neznámé programy a sledovat jejich chování v zabezpečeném módu.

Nevýhody[editovat | editovat zdroj]

  • Menší uživatelská přívětivost (občasná potřeba obnovit profil).
  • Složité nacházení příčin nefunkčnosti.
  • Bez nabídky možností při běhu programu (nutnost upravit profil EX POST).
  • Neexistence grafické nadstavby (stav v Ubuntu).

Seznam přístupových práv[editovat | editovat zdroj]

  • čtení: r
  • zápis: w
  • připojení dat: a
  • zamknutí souboru: k
  • spuštění programu v případě, že má aktivní profil: px
  • stejné jako u "px", jen nepředává systémové proměnné: Px
  • bezpodmínečné spuštění programu: ux
  • stejné jako u "ux", jen nepředává systémové proměnné: Ux
  • spuštění programu ve stejném prostředí a se stejnými omezeními jaké má původní program: ix
  • vytváření pevných odkazů: I
  • umožňuje mapovat spustitelná data do paměti: m

Odkazy[editovat | editovat zdroj]

Související články[editovat | editovat zdroj]

Reference[editovat | editovat zdroj]

  1. "Novell uvolňuje bezpečnostní řešení AppArmor pro Linux jako open-source", živě.cz, 29. 8. 2011
  2. "Novell delivers security shield for Linux computers", news.cnet.com, 29. 8. 2011

Externí odkazy[editovat | editovat zdroj]