AppArmor

Aus openSUSE

AppArmor ist eine Sicherheitsanwendung, die mit Hilfe der Linux Security Model-Kernelschnittstelle Profile für Anwendungen erstellen kann, welche die Anwendungen in ihren Möglichkeiten einschränken.

Das AppArmor-Projekt

Überblick

AppArmor ist in SUSE Linux enthalten und ist ein Sicherheitswerkzeug, entwickelt um Sie mit einem einfach zu benutzenden, starken Sicherheitsrahmenwerk für ihre Anwendungen zu versorgen. AppArmor schützt das System und die Anwendungen aktiv vor externen und internen Bedrohungen, sogar vor Zero-Day-Attacken, indem es ein gutartiges Programmverhalten erzwingt und die Ausnutzung unbekannter Programmschlupflöcher verhindert. AppArmor Sicherheitsrichtlinien, auch "Profile" genannt, definieren komplett, auf welche Systemmittel eine Anwendung zugreifen darf und welche Rechte sie dabei besitzt. Einige Standardprofile sind schon in AppArmor enthalten und benutzen eine Kombination aus fortgeschrittenen statischen Analysen und lernbasierten Werkzeugen. AppArmor-Profile können gerade für sehr komplexe Anwendungen innerhalb weniger Stunden erfolgreich erstellt werden.

Es existiert eine detaillierte Beschreibung von AppArmor als Diskussionsgrundlage über das Problem welches AppArmor zu lösen versucht, und die Technologie und die Lösungsansätze, welche von AppArmor verfolgt werden.

Kommunikation

Die AppArmor-Entwickler stehen auf der openSUSE Mailingliste für Fragen bereit. Zusätzlich gibt es spezielle Mailinglisten zu AppArmor, an die Benutzer schreiben können oder denen sie beitreten können, um mit den Entwicklern in Kontakt zu treten.

• apparmor-general@forge.novell.com ist eine Mailingliste für AppArmor-Benutzer. Ein guter Platz für Fragen, wie man AppArmor einsetzt um seine Anwendungen zu schützen.
• apparmor-dev@forge.novell.com ist eine Entwicklermailingliste für AppArmor-Entwickler und Mitglieder der Nutzergemeinde. Diese Liste beschäftigt sich mit Fragen zur Entwicklung der Kernbereiche von AppArmor - dem Kernelmodul und den Werkzeugen zur Profilerstellung. Wenn Sie daran interessiert sind den Quellcode von AppArmor zu überprüfen oder Patches einreichen wollen, dann sind sie hier richtig.
• apparmor-announce@forge.novell.com ist eine ruhigere Liste, auf welcher die Verfügbarkeit neuer Versionen oder Eigenschaften angekündigt wird.

Teilnahme

Es gibt Möglichkeiten, wie Sie mithelfen können: Das Erstellen von AppArmor-Profilen ihrer Anwendungen oder das Berichten von Fehlern helfen dabei, SUSE Linux zu einer noch sichereren Plattform für ihre Anwendungen zu machen.

AppArmor Profile

SUSE Linux enthält AppArmor-Werkzeuge und Profile die Sie benutzen können um Anwendungen abzusichern und mit denen Sie neue Profile erstellen können. Sie können neue Profile der von ihnen genutzten Anwendungen einbringen, indem Sie den Anleitungen folgen, wie man neue Profile erstellt oder exitstierende verändert. All das wird detailliert in der AppArmor Administrationsanleitung (auf Englisch) in Sektion 3.3 beschrieben.

Wenn Sie ein Profil neu erstellt oder verändert haben, können Sie es an die Mailingliste apparmor-general@forge.novell.com senden, zusammen mit dem Awendungsverhalten, welches Sie trainiert haben. Das AppArmor-Team wird ihre Einsendung dann überprüfen und sie eventuell in SUSE Linux einfügen. Wir können ihnen nicht versprechen, dass jedes Profil in SUSE Linux veröffentlicht wird, aber wir werden uns bemühen so viele Profile wie mögliche zu integrieren, so dass Benutzer zu den Profilen beitragen können, welche mit SUSE Linux ausgeliefert werden.

Fehlerbehebung

Wenn Sie ein Problem oder Fehler bei der Benutzung von AppArmor oder den Profilen entdecken können Sie Bugzilla (Product: SUSE LINUX X.Y, Component: AppArmor) zum Einsenden einer Problembeschreibung benutzen.

Die Software besorgen

AppArmor-Pakete können von der AppArmor-Seite auf Novell Forge herunterladen, des Weiteren werden mit den SUSE-Versionen ab dem 19. Januar AppArmor-RPMs ausgeliefert.

Integrierte Pakete sind ebenfalls im SUSE Linux Enterprise Server 9, Service Pack 3 (SLES9 SP3) enthalten.

AppArmor integriert in SUSE Linux

AppArmor besteht aus:

• einem Kernelmodul, welches mit dem SUSE Linuxkernel ausgeliefert wird, das die Sicherheitsprofile umsetzt.
• einer Kollektion von RPMs, welche ebenfalls mit SUSE Linux ausgeliefert werden, die folgenden bereitstellen:
  • Ein Satz von AppArmor-Profilen für eine Anzahl von Programmen die mit SUSE Linux ausgeliefert werden.
  • Werkzeuge um AppArmor-Profile zu erstellen und zu verwalten.
  • Eine YaST-Benutzerschnittstelle um Berichte und Hinweise von Sicherheitsereignissen zu verwalten.
  • Dokumentation zu den AppArmor-Werkzeugen.

Die AppArmor-RPMs

Die Pakete können wärend der Installation ausgewählt werden oder später in der Paketverwaltung von SUSE Linux unter YaST.

 libapparmor
 apparmor-profiles
 apparmor-utils
 apparmor-parser
 yast2-apparmor
 apparmor-docs

Entwicklerversion von AppArmor

Für neue Eigenschaften welche sich momentan in der aktiven Entwicklung befinden hält die AppArmor-Seite auf Novell Forge den Quellcode zum Herunterladen bereit, um ihn Überprüfen zu können und Rückmeldungen der Nutzergemeinde zu ermöglichen. Sobald neue Möglichkeiten stabil arbeiten und bereit für eine Integration sind, werden sie Teil von SUSE Linux.

   

Die von openSUSE ausgelieferte Version von AppArmor erfährt über die Online-Aktualisierung von YaST lediglich Erneuerungen bei Sicherheitsproblemen oder schwerwiegenden Fehlern. Wenn Sie einen größeren Versionssprung vornehmen wollen oder diese Software nicht auf den Installationsmedien mitgeliefert wird, stehen für die von Ihnen verwendete Ausgabe der Distribution neue Pakete im Security:Apparmor-Depot des Build Service von openSUSE zur Verfügung. Weitere Informationen erhalten Sie im Artikel Zusätzliche Paketquellen.

Siehe auch

• Ähnliche Anwendungen
  • SELinux

WWW-Verweise

• Offizielle Produktseite
• Wikipedia-Eintrag