AppArmor
目次
AppArmorプロジェクトについて
概要
SUSE Linuxに入っているAppArmorとはアプリケーションのセキュリティツールです。アプリケーションのための使いやすいセキュリティフレームワークを目指しています。AppArmor は外部、内部の脅威からシステムとアプリケーションを積極的に守ります。ゼロデイアタック(脆弱性が公開されないうちに受ける攻撃)でさえも対抗します。良好な動作を守り、アプリケーションの予期しない欠陥が露になるのも防ぎます。AppArmorのセキュリティポリシーを「プロファイル」と呼びますが、これは個々のアプリケーションがどのシステムリソースにいかなる権限でアクセスを許可できるかを設定します。AppArmorにはデフォルトのプロファイルが多数用意されており、進んだ統計処理とラーニングベース(知識・技術の集積)ツールとの連携により、 非常に複雑なアプリケーションに対しても数時間もすればAppArmorプロファイルができあがります。
AppArmorの詳細 では、AppArmorが解決しようとする問題、AppArmorによるソリューションの技術とパラダイムを議論できます。
ソフトウェアの入手
AppArmorは Novell ForgeのAppArmorページ からダウンロードできます。また、AppArmorのRPMパッケージはSUSE Linux 10.1に同梱されています。
SUSE Linux Enterprise Server 9, Service Pack 3 (SLES9 SP3)にも、統合パッケージが同梱されています。(現在、これらのパッケージのライセンスは「プロプラエタリ」です。2006年の第三四半期にはライセンスを更新したパッケージを投入する予定です)
SUSE Linuxに備わるAppArmor
AppArmor は以下のコンポーネントからなっています:
- カーネルモジュール。SUSE Linuxカーネルに組み込まれています。これはセキュリティプロファイルを強化するものです。
- AppArmor構成RPM。これもSUSE Linuxに同梱です。以下の機能を有します:
- SUSE Linuxに同梱の各プログラムのためのAppArmorプロファイル
- 新規AppArmorプロファイルの作成や既存AppArmorプロファイル管理のためのツール
- セキュリティイベントのレポート・通知を管理するYaSTインターフェイス
- AppArmorツールの文献
AppArmorが全てのシステムデーモンに制限をかけるように設定を完了した後にシステムの再起動を行うことは最善の方法です。
AppArmorを構成するrpm
YaSTのパッケージ管理ツールを利用してOSのインストール時にあるいはインストール後に追加できます。
libapparmor apparmor-profiles apparmor-utils apparmor-parser yast2-apparmor apparmor-docs
AppArmorの開発版
現在開発中のバージョンの新機能については、Novell ForgeのAppArmorページ から試用とコミュニティへのフィードバック用にソースコードがダウンロードできます。 新しい機能が安定化され、統合テストと使用への準備ができたら、それらはSUSE Linuxに組み込まれる予定です。
連絡先
AppArmorの開発者は、質問などを行うことができる openSUSEメーリングリストに参加しています。それ以外には、ユーザが開発者と意思疎通するために参加し、投稿を行うことができるAppArmor専用のメーリングリストがあります。
- apparmor-general@forge.novell.comは、AppArmorのエンドユーザ向けメーリングリストです。あなたのアプリケーションをAppArmorで保護する方法についての疑問を解決するためには良い場所です。
- apparmor-dev@forge.novell.com は、AppArmor の開発者とコミュニティメンバーのためのメーリングリストです。ここでは、カーネルモジュールやプロファイリングツールといったAppArmorの本質的な機能の開発に関する議論がなされます。AppArmorのソースコードを調べ、これに提案をしたりパッチを送ろうとする人はこちらに参加してください。
- apparmor-announce@forge.novell.comはAppArmorのリリースや機能追加を通知するメーリングリストです。流量は少なめです。
ユーザが貢献できること
あなたが貢献する方法: あなたが実行しているアプリケーションのためのAppArmorのプロファイルを作成したり、あなたが発見したバグを報告することで、SUSE Linuxはあなたのアプリケーションを実行するためのよりセキュアなプラットフォームになります。
AppArmor プロファイル
The SUSE Linux のディストリビューションには AppArmor のツールとプロファイルが組み込まれています。これを用いて、アプリケーションを保護したり新しいプロファイルを作成します。 あるアプリケーションに対してプロファイルを作るには、プロファイルの新規作成や既存のプロファイルの改良などを、決まった作成法に従って行います。この方法の詳細はAppArmor 管理ガイド 3.3節を参照してください。
新しいプロファイル、改良版のプロファイルができたらそれをアプリケーションの動作事例とともに apparmor-general@forge.novell.com メーリングリストに知らせてください。 AppArmor 開発チームでそれを検討した上、SUSE Linuxに採用することができるでしょう。全ての報告を採用はできないかも知れませんが、最善をつくしてSUSE Linuxに組み込むセキュリティプロファイルにユーザの貢献を採用できるようにします。
バグ修正
AppArmor ツールやプロファイルに問題を見付けたら、bugzilla (Product: SUSE LINUX X.Y, Component: AppArmorのように条件を指定します) に報告してください。バグ修正のためにどのような情報が必要なのかについてはBugs:AppArmorを見てください。