Linuxové jádro 2.6.35 se na serverech ještě ani nestihlo ohřát a už tu máme informace o chystané novince pro 2.6.36. Součástí tohoto jádra by totiž měla být bezpečností technologie AppArmor, kterou vyvíjí především společnost Novell jako příjemnější alternativu ke komplikovanému bezpečnostnímu systému SELinux. Oba nástroje dokáží definovat dodatečné politiky pro jednotlivé aplikace v systému, což ve výsledku vede při správném použití k výraznému posílení bezpečnosti.
AppArmor bude součástí jádra 2.6.36
4. 8. 2010
6
nových názorů
-
zz9 (neregistrovaný)
SElinux jsem nejak odmitnul pro jeho zbesile konstrukce, AppArmor vubec neznam, pouzivam jiz dlouha leta grsecurity (stable pro 2.6.32, testing pro 2.6.34, projekt zije), pridava neco armor nebo kam je vlastne cilen? lze ho pouzit misto grsec, pouzivate to nekdo realne?
-
Kolemjdouci (neregistrovaný)
grsec neznam, a tak srovnavat nemohu. Co se pouziti tyce: AppArmor je soucasti openSUSE a aktivuje se pri bezne instalaci. Takze ho uz roky pouzivaji stovky tisic lidi. (Vetsina samozrejme nevedomky.) Popis je v priruckach k openSUSE, neco malo o jeho funkcnosti lze uhadnout z nasledujiciho vypisu:
# rcapparmor status
apparmor module is loaded.
10 profiles are loaded.
10 profiles are in enforce mode.
/usr/sbin/ntpd
/usr/sbin/identd
/sbin/klogd
/sbin/syslogd
/sbin/syslog-ng
/usr/sbin/traceroute
/usr/sbin/nscd
/usr/sbin/mdnsd
/bin/ping
/usr/sbin/avahi-daemon
0 profiles are in complain mode.
2 processes have profiles defined.
2 processes are in enforce mode :
/usr/sbin/ntpd (3080)
/usr/sbin/avahi-daemon (3005)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined. -
raven4 (neregistrovaný)
Zdravicko,
bohuzel AppArmor(AR) prichazi do jadra pozde. Pridam par komentaru:
1) kdysi jsem jej intenzivne uzival a byla to velmi zajimava technologie, napr. firefox, PDF Reader, media prehravace izolovane diky AppArmoru od systemu diky velmi restriktivnimu nastaveni…2) Novell ale pred par lety PROPUSTIL vsechny vyvojare, kteri na AR pracovali, takze vyvoj se vyrazne zpomalil, ne-li zastavil a dnes jej s prehledem trumfnou jine bezp. technologie – ja osobne jsem po x spokojenych letech s AppArmorem presel na TOMOYO, ktere (ve sve full verzi 1.7.x )poskytuje dnes podstatne vice moznosti
3) AppArmor umoznuje ridit/filtrovat napr. pristup (cteni/zapis) k objektum(souborum a adresarum)
4) AppArmor vsak neumi ridit pristup k siti, respektive umi jen aplikaci pristup povolit ci zakazat, detailnejsi nastaveni NEZVLADA → mimo jine proto jsem presel na TOMOYO
5) TOMOYO v plne verzi 1.7.x zvlada ridit/filtrovat pristup k objektum, detailne ridit pristup k siti (stava se tak jakymsi aplikacnim firewallem pro Linux) atd a hlavni pro laika – TOMOYO se umi SAMO UCIT!!!!
Preji hezky den.
S pozdravem, R4
raven4@jabber.cz
