|
AppArmor (Application Armor) とは、Linux Security Modulesの一種であり、各プログラムにセキュリティプロファイルを結びつけ、プログラムのできることに制限をかけるプログラムである。プロファイルは、ネットワークアクセス、Raw socket アクセス、ファイルへの読み書き実行などの機能を制限することができる。AppArmor は、Unixの伝統的な任意アクセス制御モデルを、強制アクセス制御モデルを提供することで補っている。このプログラムはバージョン2.6.36からLinuxのメインラインに含まれており、2009年からカノニカルが開発をサポートしている。 手動でセキュリティプロファイルを作るだけでなく、AppArmorでは学習モードを使うことができる。 学習モードでは、プロファイル違反が見つかってもその動作を妨害せず、単にログに出力する。 このログを使ってプログラムの挙動に基づくAppArmorプロファイルを生成することができる。 AppArmorはLinux Security Modulesのインターフェイスを利用して実装されている。 AppArmorは、SELinux の一部の機能の代わりとして使うことができる。ラベルをファイルに適用することに基づく SELinux とは異なり、AppArmor はファイルパスを利用する。AppArmor の支持者は、この方法のほうが SELinux よりも平均的な利用者にとって理解しやすいと主張している 。また彼らは AppArmor のほうが既存のシステムに適用する際により少ない修正ですむと主張している。例えば、SELinuxは「セキュリティラベル」をサポートするファイルシステムを必要とするので、NFS を通じてマウントされたファイルに対してアクセスコントロールを提供できない。一方、AppArmorは任意のファイルシステムで利用できる。 == 他のシステム == AppArmor represents one of several possible approaches to the problem of restricting the actions that installed software may take. AppArmorはインストールされたソフトウェアがするかもしれない動作の制限、という問題へのいくつかの可能な取り組みを代表している。 SELinuxのシステムは普通AppArmorと同じような対応を取る。重要な違いは、SELinuxはファイルのパスの代わりにinodeの番号でファイルを同じと見なす。これは、例えばアクセス不可能であるが、ハードリンクが作られるときにAppArmorであればアクセス可能になるかもしれないファイルであるのに、SELinuxはinodeによって参照された元のデータが同じになっても、依然として新しく作られたハードリンクを通してでもアクセスできない。 SELinuxとAppArmorは、管理のされ方、システムとの結びつき方においても著しく違っている。 プロセスの分離はバーチャライゼーションのようなメカニズムによって出来上がっている。例えばOLPCプロジェクトの軽量Vserverでのサンドボックスの個々のアプリケーションがそうである。 2007年には、Smackという単純化された命令のカーネルへの操作へのアクセスが導入された。 In 2009, a new solution called Tomoyo was included in Linux 2.6.30; like AppArmor, it also uses path-based access control. 抄文引用元・出典: フリー百科事典『 ウィキペディア(Wikipedia)』 ■ウィキペディアで「AppArmor」の詳細全文を読む スポンサード リンク
|