AppArmor

AppArmor é um módulo de segurança do kernel Linux que permite ao administrador do sistema restringir os recursos dos programas com perfis específicos. Os perfis podem permitir o acesso à rede, ao soquete bruto e para ler, gravar ou executar arquivos. O AppArmor complementa o modelo tradicional de controle de acesso discricionário (DAC) do Unix, fornecendo controle de acesso obrigatório (MAC). Ele foi parcialmente incluído no kernel Linux principal desde a versão 2.6.36; e seu desenvolvimento tem sido suportado pela Canonical desde 2009.

AppArmor

AppArmor
AppArmor
Página oficial	apparmor.net

Detalhes

O AppArmor é oferecido em parte como uma alternativa ao SELinux, que os críticos consideram como sendo demasiadamente complexo para os administradores configurarem e fazerem sua manutenção.^[1] Ao contrário do SELinux, que se baseia na aplicação de rótulos a arquivos, o AppArmor trabalha com caminhos de arquivo. Os defensores do AppArmor afirmam que é mais simples e mais fácil para aprender do que o SELinux.^[2]

Outros sistemas

O sistema SELinux geralmente adota uma abordagem semelhante ao AppArmor. Uma diferença importante: o SELinux identifica os objetos do sistema de arquivos pelo número do inode em vez do caminho. No AppArmor, um arquivo inacessível pode se tornar acessível se um link físico para ele for criado. Essa diferença pode ser menos importante do que já foi, pois o Ubuntu 10.10 e mais tarde atenuam isso com um módulo de segurança chamado Yama, que também é usado em outras distribuições.^[3] O modelo baseado em inode do SELinux sempre negou inerentemente o acesso através de hard links recém-criados porque o hard link estaria apontando a um inode inacessível.

Disponibilidade

O AppArmor foi usado pela primeira vez no Immunix Linux entre 1998 e 2003. Na época, o AppArmor era conhecido como SubDomain, uma referência à capacidade de um perfil de segurança para um programa específico ser segmentado em diferentes domínios, entre os quais o programa pode alternar dinamicamente.^[4][5]

Em maio de 2005, a Novell adquiriu a Immunix e renomeou o SubDomain como AppArmor; e começou a limpar e reescrever o código para a inclusão no kernel do Linux.^[6] De 2005 a setembro de 2007, o AppArmor foi mantido pela Novell. Esta foi adquirida pela SUSE, que agora é a proprietária legal da marca registrada AppArmor.^[7]

O AppArmor foi portado/empacotado com sucesso pela primeira vez para o Ubuntu em abril de 2007. O AppArmor tornou-se um pacote padrão a partir do Ubuntu 7.10; e veio como parte do lançamento do Ubuntu 8.04, protegendo apenas o CUPS por padrão. A partir do Ubuntu 9.04, mais itens como o MySQL têm perfis instalados. O endurecimento do AppArmor continuou a melhorar no Ubuntu 9.10, pois ele vem com perfis para sua sessão de convidado, máquinas virtuais libvirt, o visualizador de documentos Evince e um perfil opcional do Firefox.^[8]

O AppArmor foi integrado à versão de kernel 2.6.36 de outubro de 2010.^{[9][10][11][12]}

O AppArmor foi integrado ao DSM da Synology desde a versão 5.1 Beta em 2014.^[13]

O AppArmor foi habilitado no Solus Release 3 em 15 de agosto de 2017.^[14]

O AppArmor está habilitado por padrão no Debian 10 (Buster), lançado em julho de 2019.^[15]

O AppArmor está disponível nos repositórios oficiais do Arch Linux.^[16]

Ver também

• SELinux

Referências

1. Mayank Sharma (11 de dezembro de 2006). «Linux.com:: SELinux: Comprehensive security at the price of usability». Consultado em 25 de outubro de 2007. Arquivado do original em 2 de fevereiro de 2009
2. Ralf Spenneberg (agosto de 2006). «Protective armor: Shutting out intruders with AppArmor». Linux Magazine. Consultado em 2 de agosto de 2008. Arquivado do original em 21 de agosto de 2008
3. «Security/Features - Ubuntu Wiki». wiki.ubuntu.com. Consultado em 19 de julho de 2020
4. Vincent Danen (17 de dezembro de 2001). «Immunix System 7: Linux security with a hard hat (not a Red Hat)». Arquivado do original em 23 de maio de 2012
5. WireX Communications, Inc. (15 de novembro de 2000). «Immunix.org: The Source for Secure Linux Components and Platforms». Cópia arquivada em 3 de fevereiro de 2001
6. «AppArmor History». AppArmor. 19 de julho de 2012. Consultado em 24 de novembro de 2022. Arquivado do original em 19 de junho de 2017
7. «AppArmor». USPTO TMSearch. United States Patent and Trademark Office. Consultado em 24 de novembro de 2022 ^{[ligação inativa]}
8. «AppArmorProfiles». Ubuntu Wiki (em inglês). 9 de janeiro de 2011. Consultado em 24 de novembro de 2022
9. Corbet, James (20 de outubro de 2010). «The 2.6.36 kernel is out». LWN.net (em inglês). Consultado em 24 de novembro de 2022
10. Linus Torvalds (20 de outubro de 2010). «Change Log». Arquivado do original em 4 de setembro de 2011
11. «Linux 2.6.36». KernelNewbies (em inglês). 30 de dezembro de 2017. Consultado em 24 de novembro de 2022
12. Kerner, Sean Michael (20 de outubro de 2010). «Linux Kernel 2.6.36 Gets AppArmor». Linux Planet (em inglês). Consultado em 24 de novembro de 2022
13. «Release Notes for DSM 5.1 Beta Program». Synology (em inglês). Consultado em 24 de novembro de 2022 ^{[ligação inativa]}
14. Larabel, Michael (15 de agosto de 2017). «Solus 3 Linux Distribution Released For Enthusiasts». Phoronix (em inglês). Consultado em 24 de novembro de 2022
15. «NewInBuster». Debian Wiki (em inglês). Consultado em 24 de novembro de 2022
16. «Arch Linux - apparmor 3.1.2-1 (x86_64)». archlinux (em inglês). 8 de novembro de 2022. Consultado em 24 de novembro de 2022

Ligações externas

• «AppArmor wiki». GitLab. Consultado em 25 de abril de 2018
• AppArmor wiki (archived)
• AppArmor description from openSUSE.org
• «AppArmor detailed documentation». ArchLinux. Consultado em 25 de abril de 2018
• LKML thread contendo comentários e críticas ao AppArmor
• Apparmor packages for Ubuntu
• «Counterpoint:». (inscrição necessária) Especialistas em segurança da Novell e Red Hat se enfrentam no AppArmor e SELinux
• AppArmor Application Security for Linux

• Portal do Linux