AppArmor bude součástí jádra 2.6.36

James Morris poslal náhled změn Security subsystému pro kernel 2.6.36. AppArmor byl dlouho dobu vyvíjen mimo kernel, je používán jako alternativa k SELinuxu v distribucích Ubuntu, openSUSE a Mandriva. Jde o Mandatory Access Control systém, který stejně jako SELinux a TOMOYO používá jaderné rozhraní Linux Security Modules (LSM). Na rozdíl od SELinuxu však používá definice na základě cest k souborům. Definice pravidel je tak jednodušší než u MAC systémů používajících labelování.

Komentáře

to je neco jako acl?

1.8.2010 18:38 Vantomas | skóre: 32 | Praha
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36

Zajistuje aby aplikace pristupovali pouze k souborum, ktere jsou jim dovoleny. Webserver tedy muze pouze ke knihovnam, ktere potrebuje pro svuj beh, muze pouze do adresaru s webrootem apod., mail server zase muze pouze do uloziste mailu.

Kdyz utocnik zkompromituje napr. mail server, nedostane se napr. do webrootu webserveru a nevycte tajne hesla do databaze.

1.8.2010 21:10 Jiří Svoboda | skóre: 37 | blog: cat /dev/mind | Prostějov
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36

Což mě jednou pěkně vypeklo.

Jsem zvyklý mít v '/etc/' víc různých 'resolv.conf' a přepínat jen změnou symlinku.

Treba 'resolv.conf -> resolv.conf.doma'.

Nainstaloval jsem si mašinu pro nahrávání z DVB-T a po nějaké době mi chyběly začátky nahrátých pořadů, protože se zpožďovaly hodiny. I kdyz běželo 'ntpd'. Jo, to sice běželo, ale jak, AppArmor ho nepustil k 'resolv.conf', takže se na NTP server nedoptal...

nemam prakticky zkusenosti, ale AppArmor vypada proti SELinuxu jako pritulnej mourek proti hladovimu lvovi. Prvni vec, ktera me vzdycky nakrkne na Fedore je SELinux. Je asi vybornej pro banky a statni spohovaci agentury, ale me vzdycky zveda vyrazne vic hladinu adrenalinu nez bezpecnost :-)

2.8.2010 06:55 Tutor
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36

SELinux a AppArmor jsou co o bezpečnosti více méně ekvivalentní (nějaké rozdíly tam jsou). Výhodou AppArmor je hlavně to, že je lépe stravitelný pro uživatele.

2.8.2010 08:26 alblaho | skóre: 17 | blog: alblog
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36

Před časem byl na tomto serveru seriál o SELinuxu a přišlo mi to dost složité. Rozhodně jsem dospěl k názoru, že se něčím takovým na desktopu fakt nehodlám zaobírat a na serverech to pokud možno přenechám profíkům.

2.8.2010 08:47 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36

Ekvivalentní bych určitě neřekl. Zásadní omezení AppArmoru je v tom, že hlídá jen vybrané programy (typicky síťové démony a programy se SUID bitem) a ostatní ho nezajímají. Na druhou stranu, když jsem se díval na "targeted policy", která je připravená jako součást distribuce v CentOSu, tak ta dělala přesně totéž.

2.8.2010 08:59 Tutor
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36

AppArmor si nemohu nakonfigurovat tak, aby hlídal to co chci já?

2.8.2010 09:04 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36

To samozřejmě ano. Ale AppArmor hlídá jen programy, pro které má připravený profil, ať už z distribuce nebo od vás. Neumí režim "defaultně nesmí nikdo nic kromě toho, co komu výslovně povolím" jako třeba SELinux nebo LIDS.

2.8.2010 09:17 Tutor
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36

To platí jen pokud svůj profil založíte na "access everything" a zakazujete vše ručně.

Nic vám nebrání v tom začít s "deny all" policy a postupovat opačně.

2.8.2010 11:24 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36

Asi si nerozumíme. Nemluvím o profilu pro jeden program, tam je samozřejmě defaultem zakázat všechno a co explicitně nepovolím, to program nesmí. Mluvím o tom, že aplikace, které profil nemají, mohou automaticky všechno (co jim nezakáže jiné omezení, např. klasická přístupová práva, atributy nebo ACL).

2.8.2010 11:07 l4m4
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36

Uch och. Pominu-li přístup AppArmor založený na cestách, který považuji za chybný...

Např. postup v SELinuxu, jak se definuje, které soubory uživatelům smí v home číst webserver:

1) Admin definuje typ, ke kterému jedinému dostane proces s rolí web serveru přístup (typicky je toto už uděláno a je to nějaký httpd_user_content_t)[*].

2) Kdokoli pak použije chcon(1) na své soubory a adresáře a možnost čtení weserverem jim libovolně přidá či sebere, nevyhovuje-li mu default.

Jak udělám krok 2 s AppArmor?

[*] Jo, není to tak jednoduché, v refereční policy existuje ještě boolean, který toto celé globálně zapne/vypne.

2.8.2010 09:36 Kerala
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36

Kdysi jsem četl, že SELinux se těžko dostává z počítače resp. z jádra. Kdežto AppArmor se jednoduše odebere nebo přidá v YaSTu.

2.8.2010 10:38 michich | skóre: 51 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36

Vypnout SELinux je triviální.

2.8.2010 14:10 Kerala
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36

Čím více nepoužívaného balastu, tím těžkopádnější použití.

2.8.2010 20:31 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36

Tak to určitě.

Musel jsem kvůli tomu měnit jádro na jinou verzi, protože mě vypnutý selinux nenechal připojit ext2 oddíl s /boot - nelíbilo se mu, že tam nejdou zapnout acl (to nebylo v jádře). A bez přístupu k /boot jaksi nejde nainstalovat nové jádro.

Quando omni flunkus moritati

2.8.2010 20:53 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36

Mam za to, že selinux k ničemu ACL nepotřebuje. Každopádně u skutečně vypnutého selinuxu bych něco podobného považoval za bug a snažil bych se to hlásit.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

2.8.2010 11:09 l4m4
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36

Kdysi jsem četl, že MS Windows jsou mnohem bezpečnější než Linux. Nesmíš věřit každému FUDu, který si někde přečteš...

2.8.2010 16:56 Kerala
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36

Bohužel asi neumíte rozlišovat mezi PR články z dílny Steva Ballmera a komentářem vývojáře Luďka Šafáře (kdysi šefoval českým vývojářům ve společnosti SUSE). Z roku 2006 je porovnání zde.