AppArmor
 | |
| Original author(s) | Immunix |
|---|---|
| Developer(s) | Originally by Immunix (1998-2005), then by SUSE as part of Novell (2005-2009), and currently by Canonical Ltd (since 2009). |
| Initial release | 1998 |
| Stable release | 3.0.1
/ December 2, 2020[1] |
| Repository | gitlab |
| Written in | C, Python, C++, sh[2] |
| Operating system | Linux |
| Type | Security, Linux Security Modules (LSM) |
| License | GNU General Public License |
| Website | apparmor |
AppArmor ("Application Armor")는 시스템 관리자에게 프로그램-별 프로파일을 갖는 프로그램의 능력을 제한하는 것을 허용하는 리눅스 커널 보안 모듈입니다. 프로파일은 네트워크 접근, 원시 소켓 접근, 및 일치하는 경로에서 파일을 읽고, 쓰고, 실행하기 위한 허가권과 같은 능력을 허용할 수 있습니다. AppArmor는 필수 접근 제어 (MAC)를 제공함으로써 전통적인 유닉스 임의 접근 제어 (DAC) 모델을 보완합니다. 그것은 버전 2.6.36 이래로 메인라인 리눅스 커널에 부분적으로 포함되어 왔고 그것의 개발은 2009년 이래로 캐노니컬에 의해 지원되어 왔습니다.
Installation
데비안 저장소에서 설치할 수 있습니다:
- sudo apt install apparmor
제공되는 프로파일을 설치할 수 있습니다:
- sudo apt install apparmor-profiles
- sudo apt install apparmor-profiles-extra
Details
프로파일을 수동으로 생성하는 것 외에도, AppArmor는 프로파일 위반이 기록되지만 방지되지는 않는 학습 모드를 포함하고 있습니다. 이 로그는 그런-다음 프로그램의 전형적인 행동을 기반으로 하는 AppArmor 프로파일을 생성하는 데 사용될 수 있습니다.
AppArmor는 리눅스 보안 모듈 (LSM) 커널 인터페이스를 사용하여 구현됩니다.
AppArmor는 부분적으로 SELinux의 대안으로 제공되며, SELinux는 비평가에 의해 관리자가 설정하고 유지 관리하기 어렵다고 고려됩니다.[3] 파일에 레이블을 적용하는 것을 기반으로 하는 SELinux와 달리, AppArmor는 파일 경로와 함께 작동합니다. AppArmor의 지지자들은 그것이 SELinux보다 일반 사용자가 배우기가 덜 복잡하고 쉽다고 주장합니다.[4] 그들은 역시 AppArmor가 기존 시스템과 작동하기 위해 더 적은 수정이 필요하다고 주장합니다. 예를 들어, SELinux는 "보안 레이블"을 지원하는 파일 시스템을 필요하고, 따라서 NFS를 통해 마운트된 파일에 대해 접근 제어를 제공할 수 없습니다. AppArmor는 파일 시스템에 구애받지 않습니다.
Other systems
AppArmor는 설치된 소프트웨어가 수행할 수 있는 동작을 제한하는 문제에 대한 몇 가지 가능한 접근 방식 중 하나입니다.
SELinux 시스템은 일반적으로 AppArmor와 유사한 접근 방식을 취합니다. 한 가지 중요한 차이점이 있습니다: SELinux는 경로 대신 inode 번호에 의해 파일 시스템 대상을 식별합니다. AppArmor 아래에서, 접근 불가능 파일은 만약 그것에 대한 하드 링크가 생성되면 접근-가능이 됩니다. 이 차이는 우분투 10.10 이상에서 다른 배포판에서도 사용되는 Yama라고 불리는 보안 모듈로 이를 완화하기 때문에 이전보다 덜 중요할 수 있습니다.[5] SELinux의 inode-기반 모델은 하드 링크가 접근-불가능 inode를 가리키고 있기 때문에 새로 생성된 하드 링크를 통한 접근을 항상 본질적으로 거부했습니다.
SELinux와 AppArmor는 관리 방식과 시스템에 통합하는 방식에서도 상당히 다릅니다.
프로세스의 격리는 역시 가상화와 같은 메커니즘에 의해 성취될 수 있습니다; One Laptop per Child (OLPC) 프로젝트는, 예를 들어, 경량 Vserver에서 개별 응용 프로그램을 샌드박스 처리합니다.
2007년에, 간소화된 필수 접근 제어 커널이 도입되었습니다.
2009년에, Tomoyo라고 불리는 새로운 해결책이 리눅스 2.6.30에 포함되었습니다; AppArmor와 마찬가지로, 그것은 역시 경로-기반 접근 제어를 사용합니다.
Availability
AppArmor는 Immunix 리눅스 1998–2003에서 처음 사용되었습니다. 당시, AppArmor는 SubDomain으로 알려져 있었으며,[6][7] 이는 특정 프로그램의 보안 프로파일에 대해 그 프로그램이 동적으로 전환될 수 있는 다른 도메인으로 분할되는 기능을 나타냅니다. AppArmor는 SLES와 openSUSE에서 처음 사용할 수 있게 되었고 SLES 10와 openSUSE 10.1에서 기본적으로 처음 활성화되었습니다.
2005년 5월 Novell은 Immunix를 인수하고 SubDomain을 AppArmor로 변경했고 리눅스 커널에 포함하기 위해 코드 정리와 재작성을 시작했습니다.[8] 2005년부터 2007년 9월까지, AppArmor는 Novell에 의해 유지 관리되었습니다. Novell은 현재 상표명 AppArmor의 법적 소유자인 SUSE에 인수되었습니다.[9]
AppArmor는 2007년 4월 우분투에 대해 처음으로 성공적으로 이식/패키징되었습니다. AppArmor는 우분투 7.10부터 기본 패키지가 되었고 우분투 8.04 출시의 일부로 제공되어, 오직 기본적으로 CUPS를 보호합니다. 우분투 9.04부터 MySQL과 같은 더 많은 항목에 프로파일이 설치되어 왔습니다. AppArmor 강화는 방문자 세션, libvirt 가상 기계, Evince 문서 뷰어, 및 선택적 파이어폭스 프로파일에 대해 프로파일과 함께 제공됨에 따라 우분투 9.10에서 계속 개선되었습니다.[10]
AppArmor는 2010년 10월 2.6.36 커널 출시에 통합되었습니다.[11][12][13][14]
AppArmor는 2014년 5.1 베타 이후 Synology의 DSM에 통합되어 왔습니다.[15]
AppArmor는 2017/8/15의 Solus 출시 3에서 활성화되었습니다.[16]
AppArmor는 2019년 7월에 출시된 데비안 10 (Buster)에서 기본적으로 활성화되어 있습니다.[17]
AppArmor는 아치 리눅스의 공식 저장소에서 사용할 수 있습니다.[18]
See also
References
- ^ "Release Notes 3.0.1". AppArmor development team.
- ^ The AppArmor Application Armor Open Source Project on Open Hub Languages Page
- ^ Mayank Sharma (2006-12-11). "Linux.com :: SELinux: Comprehensive security at the price of usability". Archived from the original on 2009-02-02. Retrieved 2007-10-25.
- ^ Ralf Spenneberg (August 2006). "Protective armor: Shutting out intruders with AppArmor". Linux Magazine. Archived from the original on 21 August 2008. Retrieved 2008-08-02.
- ^ "Security/Features - Ubuntu Wiki". wiki.ubuntu.com. Retrieved 2020-07-19.
- ^ Vincent Danen (2001-12-17). "Immunix System 7: Linux security with a hard hat (not a Red Hat)". Archived from the original on May 23, 2012.
- ^ WireX Communications, Inc. (2000-11-15). "Immunix.org: The Source for Secure Linux Components and Platforms". Archived from the original on 2001-02-03.
- ^ "AppArmor History". AppArmor. Archived from the original on 2017-07-02.
{{cite web}}: CS1 maint: bot: original URL status unknown (link) - ^ "AppArmor". United States Patent and Trademark Office.
- ^ "SecurityTeam/KnowledgeBase/AppArmorProfiles – Ubuntu Wiki". Retrieved 9 January 2011.
- ^ James Corbet (2010-10-20). "The 2.6.36 kernel is out".
- ^ Linus Torvalds (2010-10-20). "Change Log". Archived from the original on 2011-09-04.
- ^ "Linux 2.6.36". 2010-10-20.
- ^ Sean Michael Kerner (2010-10-20). "Linux Kernel 2.6.36 Gets AppArmor".
- ^ "Release Notes for DSM 5.1 Beta Program".
- ^ "Solus 3 Linux Distribution Released For Enthusiasts".
- ^ "New in Buster".
- ^ "Arch Linux - apparmor 3.0.3-1 (x86_64)".
External links
- "AppArmor wiki". GitLab. Retrieved 2018-04-25.
- AppArmor wiki (archived)
- AppArmor description from openSUSE.org
- "AppArmor detailed documentation". ArchLinux. Retrieved 2018-04-25.
- LKML thread containing comments and criticism of AppArmor
- Apparmor packages for Ubuntu
- Counterpoint: (subscription required) Novell and Red Hat security experts face off on AppArmor and SELinux
- AppArmor Application Security for Linux