Hlavní navigace

AppArmor bude součástí jádra 2.6.36

Sdílet

Petr Krčmář 4. 8. 2010

Linuxové jádro 2.6.35 se na serverech ještě ani nestihlo ohřát a už tu máme informace o chystané novince pro 2.6.36. Součástí tohoto jádra by totiž měla být bezpečností technologie AppArmor, kterou vyvíjí především společnost Novell jako příjemnější alternativu ke komplikovanému bezpečnostnímu systému SELinux. Oba nástroje dokáží definovat dodatečné politiky pro jednotlivé aplikace v systému, což ve výsledku vede při správném použití k výraznému posílení bezpečnosti.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 4. 8. 2010 22:59

    Kaacz (neregistrovaný) ---.eurotel.cz

    ApppArmor na aplikace a iptables na sit .. potrebuji neco vic ? Co podle vasx schazi ?

  • 4. 8. 2010 13:48

    zz9 (neregistrovaný) 109.178.83.---

    SElinux jsem nejak odmitnul pro jeho zbesile konstrukce, AppArmor vubec neznam, pouzivam jiz dlouha leta grsecurity (stable pro 2.6.32, testing pro 2.6.34, projekt zije), pridava neco armor nebo kam je vlastne cilen? lze ho pouzit misto grsec, pouzivate to nekdo realne?

  • 4. 8. 2010 18:26

    Kolemjdouci (neregistrovaný) ---.imv.liu.se

    grsec neznam, a tak srovnavat nemohu. Co se pouziti tyce: AppArmor je soucasti openSUSE a aktivuje se pri bezne instalaci. Takze ho uz roky pouzivaji stovky tisic lidi. (Vetsina samozrejme nevedomky.) Popis je v priruckach k openSUSE, neco malo o jeho funkcnosti lze uhadnout z nasledujiciho vypisu:
    # rcapparmor status
    apparmor module is loaded.
    10 profiles are loaded.
    10 profiles are in enforce mode.
    /usr/sbin/ntpd
    /usr/sbin/identd
    /sbin/klogd
    /sbin/syslogd
    /sbin/syslog-ng
    /usr/sbin/tra­ceroute
    /usr/sbin/nscd
    /usr/sbin/mdnsd
    /bin/ping
    /usr/sbin/avahi-daemon
    0 profiles are in complain mode.
    2 processes have profiles defined.
    2 processes are in enforce mode :
    /usr/sbin/ntpd (3080)
    /usr/sbin/avahi-daemon (3005)
    0 processes are in complain mode.
    0 processes are unconfined but have a profile defined.

  • 5. 8. 2010 7:22

    St4nd3l (neregistrovaný) ---.lbox.cz

    No ono AppArmor pouzivaji take uzivatele Ubuntu. Zde stejny vypis pomoci apparmor_status

  • 5. 8. 2010 8:22

    raven4 (neregistrovaný) ---.tieto.com

    Zdravicko,
    bohuzel AppArmor(AR) prichazi do jadra pozde. Pridam par komentaru:
    1) kdysi jsem jej intenzivne uzival a byla to velmi zajimava technologie, napr. firefox, PDF Reader, media prehravace izolovane diky AppArmoru od systemu diky velmi restriktivnimu nastaveni…

    2) Novell ale pred par lety PROPUSTIL vsechny vyvojare, kteri na AR pracovali, takze vyvoj se vyrazne zpomalil, ne-li zastavil a dnes jej s prehledem trumfnou jine bezp. technologie – ja osobne jsem po x spokojenych letech s AppArmorem presel na TOMOYO, ktere (ve sve full verzi 1.7.x )poskytuje dnes podstatne vice moznosti

    3) AppArmor umoznuje ridit/filtrovat napr. pristup (cteni/zapis) k objektum(souborum a adresarum)

    4) AppArmor vsak neumi ridit pristup k siti, respektive umi jen aplikaci pristup povolit ci zakazat, detailnejsi nastaveni NEZVLADA → mimo jine proto jsem presel na TOMOYO

    5) TOMOYO v plne verzi 1.7.x zvlada ridit/filtrovat pristup k objektum, detailne ridit pristup k siti (stava se tak jakymsi aplikacnim firewallem pro Linux) atd a hlavni pro laika – TOMOYO se umi SAMO UCIT!!!!

    Preji hezky den.
    S pozdravem, R4
    raven4@jabber.cz