AppArmor

Ga naar: navigatie, zoeken

Het AppArmor project

Overzicht

Apparmor, dat wordt meegeleverd met openSUSE en SUSE Linux Enterprise, is een programmaveiligheidsgereedschap dat is ontworpen om een veiligheidsraamwerk te leveren voor andere programma's dat eenvoudig in gebruik is. AppArmor beschermt proactief het besturingssysteem en alle programma's voor bedrijgingen van buiten- en binnenuit, zelfs tegen nog niet ontdekte veiligheidslekken, door goed gedrag af te dwingen en door het gebruik van nog niet ontdekte fouten te blokkeren. De AppArmor veiligheidsprofielen, ook wel profiles genoemd, beschrijven volledig welke systeembronnen door welke programma's kunnen worden aangesproken en met welke privileges. Een aantal standaard profielen worden met AppArmor meegeleverd. Deze gebruiken een combinatie van geavanceerde statistiek analyse en leren gereedschappen. Hierdoor kan AppArmor zelfs bij zeer complexe applicaties in enkele uren worden toegepast.

Een gedetailleerde beschrijving van AppArmor is beschikbaar om te discussiëren over welke problemen AppArmor zou moeten oplossen en welke methodes en technologieën daarvoor moeten worden gebruikt. Een gids voor 'geeks' met nog meer details is ook beschikbaar.

De software verkrijgen

AppArmor pakketten kunnen worden gedownload van de AppArmor pagina op Novell Forge en AppArmor RPM's worden meegeleverd met SUSE Linux 10.1.

Geïntegreerde pakketten zijn meegeleverd met alle SUSE Linux distributies vanaf SUSE Linux Enterprise Server 9, Service Pack 3 (SLES9 SP3) en verder, waaronder SLES10, SLED10, en openSUSE 10.0, 10.1, en 10.2. Deze pakketten worden allemaal verspreid onder GPL2.

AppArmor geintegreerd in openSUSE en SUSE Linux Enterprise

AppArmor bestaat uit:

  • een kernel module, verpakt met de SUSE Linux kernel, welke de veiligheidsprofielen verplicht stelt
  • een verzameling RPM's, ook verpakt met SUSE Linux, die de volgende functionaliteit bieden:
    • een set AppArmor profielen voor verschillende programma's die worden meegeleverd met SUSE Linux
    • gereedschap om de profielen te onderhouden en nieuwe aan te maken
    • een YaST gebruikersinterface om rapporten en berichten te bekijken
    • documentatie van de AppArmor gereedschappen

Het is het beste om een systeem opnieuw te starten na een installatie, zodat AppArmor alle processen kan volgen.

De AppArmor RPM's

Deze kunnen geselecteerd worden tijdens de installatie, of naderhand, vanuit de SUSE Linux pakketbeheer gebruikersinterface in YaST.

 libapparmor
 apparmor-profiles
 apparmor-utils
 apparmor-parser
 yast2-apparmor
 apparmor-docs

Ontwikkelversie van AppArmor

Voor nieuwe mogelijkheden die momenteel worden ontwikkeld heeft de AppArmor pagina op Novell Forge downloads van de broncode om deze in te zien en commentaar te leveren. Wanneer mogelijkheden gestabiliseerd en klaar voor integratie zijn worden ze onderdeel van SUSE Linux.

Communiceer

De AppArmor ontwikkelaars zijn te bereiken via de openSUSE mailinglijsten voor vragen. (Engelstalig) Daarnaast zijn er specifieke mailinglijsten voor AppArmor waarin gebruikers vragen kunnen stellen of mee kunnen doen met de ontwikkelaars.

  • apparmor-general@forge.novell.com is een mailinglijst voor de eindgebruikers van AppArmor. Hier kun je vragen stellen over hoe je AppArmor moet gebruiken om bepaalde programma's te beschermen.
  • apparmor-dev@forge.novell.com is een ontwikkelaar mailinglijst voor AppArmor ontwikkelaars en gemeenschapsleden. Deze lijst is voor vragen over de ontwikkeling van de basis AppArmor mogelijkheden - de kernel module en de profileergereedschappen. Als je geïnteresseerd bent in het nakijken van de code en reviews en patches schrijven dan moet je hier zijn.
  • apparmor-announce@forge.novell.com is een lijst met weinig verkeer om de beschikbaarheid van nieuwe versies of mogelijkheden aan te kondigen.

Meehelpen

Er zijn manieren waarop je kunt helpen: maak AppArmor profielen voor programma's die je gebruikt of rapporteer fouten die je vindt. Zo wordt SUSE Linux een nog veilig platform voor jouw programma's.

AppArmor Profielen

De SUSE Linux distributie bevat geïntegreerde AppArmor gereedschappen en profielen voor jou om jouw programma's veilig te maken en nieuwe profielen te maken. Je kunt nieuwe profielen voor programma's die je interesseren bijdragen door het recept om nieuwe profielen te maken te volgen of door huidige profielen te verbeteren. Dit process wordt gedetailleerd uitgelegd in de AppArmor beheershandleiding sectie 3.3.

Als je nieuwe of aangepaste profielen hebt kun je die opsturen naar de apparmor-general@forge.novell.com mailinglijst samen met de gebruiksuitleg voor het gedrag dat je met de profielen wilt afdwingen. Het AppArmor team zal het profiel bekijken en kan het werk opnemen in SUSE Linux. We kunnen niet garanderen dat elk profiel wordt opgenomen, maar we nemen de moeite zoveel mogelijk profielen mee te nemen zodat iedere gebruiker er aan bij kan dragen.

Fouten oplossen

Als je een probleem met een AppArmor gereedschap op profiel tegenkomt kun je bugzilla (Product: SUSE LINUX X.Y, Component: AppArmor) gebruiken om het probleem te beschrijven. Voor advies over welke informatie je moet vermelden, zie Bugs:AppArmor.

Pers artikelen

Mooie beschrijvingen en een snel overzicht met schermafdrukken: Protect your applications with AppArmor.
Linux Magazine's vergelijking tussen AppArmor en SELinux: Linux Magazine Issue 69: August 2006.
eWeek's vergelijking van AppArmor en SELinux: Wield the Shield: How Trustworthy Is Your OS?