AppArmor

AppArmor เป็นโอเพนซอร์สและซอฟต์แวร์บรรทัดคำสั่งที่มีประสิทธิภาพที่เขียนใน C, C ++, Perl เปลือก UNIX และออกแบบมาเพื่อให้ชั้นพิเศษของการรักษาความปลอดภัยสำหรับระบบปฏิบัติการลินุกซ์ เป็นชื่อของมันบ่งบอก AppArmor เป็นเหมือนเกราะสำหรับการใช้งานลินุกซ์ของคุณให้คุณโปรแกรมรักษาความปลอดภัยเครือข่ายผ่านการควบคุมการเข้าถึงที่จำเป็นสำหรับการปพลิเคชัน มันถูกออกแบบมาเพื่อปกป้องระบบของคุณจากมัลแวร์ต่างๆ
AppArmor เป็นเครื่องมือบรรทัดคำสั่งที่ได้รับการออกแบบจากการชดเชยให้ง่ายต่อการใช้งานและมีประสิทธิภาพในขณะที่ในเชิงรุกช่วยปกป้องทั้ง Linux-based ของระบบปฏิบัติการและโปรแกรมเปิดแหล่งที่มาจากภัยคุกคามต่างๆ หลายคนที่ทันสมัย​​ GNU / ลินุกซ์รวมถึงซอฟต์แวร์ AppArmor โดยตัวเลือก default.What ที่มีอยู่จากบรรทัดคำสั่งและ lsquo; & rsquo AppArmor; คำสั่งรวมถึงความหลากหลายของตัวเลือกเช่นความสามารถในการเพิ่มเปลี่ยนหรือลบคำจำกัดความ AppArmor บังคับเข้าไปในรายละเอียดบ่นโหมดตั้งค่าการป้อนข้อมูลที่เป็นรายละเอียดก่อนรวบรวมการถ่ายโอนข้อมูลที่รวบรวมประวัติและชื่อของโปรไฟล์ที่ stdout หรือในการป้อนข้อมูล เขียนออกไปยังแฟ้มที่เฉพาะเจาะจงตั้งค่าไดเรกทอรีฐานและ CWD, เช่นเดียวกับการกำหนดตำแหน่งของระบบแฟ้ม AppArmor
นอกจากนี้ยังให้การสนับสนุนสำหรับรูปแบบการทำแผนที่ & rsquo; สิทธิ์ในการอ่านนายแคชรายงานพลาดและกดรายละเอียดบันทึกโปรไฟล์แคชกำหนดตำแหน่งของแคชรายละเอียดชื่อรายละเอียดการแสดงผลที่พวกเขาจะเต็มไปแก้ปัญหาคำจำกัดความ AppArmor, การควบคุมการเพิ่มประสิทธิภาพ DFA ตั้ง Namespace สำหรับรายละเอียดบางอย่างที่ทำงานในที่เงียบสงบ โหมดการแสดงผลโดยไม่ต้องคำเตือนการถ่ายโอนข้อมูลภายในเพื่อแก้จุดบกพร่องและ AppArmor ก่อนการประมวลผล profiles.Is AppArmor เข้ากันได้กับกล่อง Linux ของฉันได้อย่างไร AppArmor จะรวมอยู่ในขณะนี้ในลินุกซ์โค้ง Annvix, Debian GNU / Linux, Ubuntu, openSUSE, Pardus ลินุกซ์, Gentoo, PLD แมนดและระบบปฏิบัติการ สนับสนุนทั้ง 32 บิตและแพลตฟอร์มฮาร์ดแวร์ 64 บิตและส่วนใหญ่อาจจะทำงานในการกระจายอื่น ๆ ของลินุกซ์อยู่บนพื้นฐานของระบบปฏิบัติการดังกล่าว.

มีอะไรใหม่ ในนี้ ข่าว:

• นโยบายคอมไ​​พเลอร์ (aka apparmor_parser):
• แก้ไขสะสมไม่ถูกต้องของการปรับเปลี่ยนการตรวจสอบสำหรับการบริหารและ pivot_root (lp # 1431717, lp # 1432045)
• ความล้มเหลวในการแก้ไขปัญหาการสะสมของกฎปฏิเสธการเชื่อมโยง (lp # 1433829)
• องค์กรการแก้ไขปัญหาของเครือข่ายครอบครัวโครงสร้างข้อมูล (ขอบคุณฟิลิป Withnall และไซมอน McVittie)
• การจัดการที่ถูกต้องของผลข้อผิดพลาดจาก readdir_r (3)
• ความล้มเหลวในการรวบรวมการแก้ไขปัญหาเมื่อมีการสร้างด้วย gcc 5.
• ตรวจสอบให้แน่ใจการแก้จุดบกพร่องและการรายงานข้อผิดพลาดไป stderr
• เพิ่มกรณีทดสอบและการปรับปรุงโครงสร้างพื้นฐานในการทดสอบ.
• Utils:
• การสนับสนุนรูปแบบ syslog เพิ่มเติม (lp # 1399027)
• minitools แก้ไขในการทำงานกับหลายโปรไฟล์ในครั้งเดียว (# 1378095 lp)
• AA-Unconfined ทำงานที่มีชื่อโปรไฟล์ที่ไม่ได้เริ่มต้นด้วย /
• AA-สถานะ: ไม่ต้องมีปัญหาเมื่อมี mountpoints UTF-8 ตัวอักษร (lp # 1310598 ขอบคุณ Alain BENEDETTI)
• AA-easyprof: เพิ่ม --include แม่แบบ-dir และ --include-นโยบายกลุ่ม dir ตัวเลือก
• AA-บ่น: ไม่จำเป็นต้องมีชื่อที่เข้มงวดสำหรับโปรไฟล์ (lp # 1128468)
• รายละเอียดเหตุการณ์ที่เกิดเส้นทางเชื่อมต่อมากกว่า crashing (BNC # 918787)
• ทำความสะอาดเบื้องต้นรายละเอียดและการจัดการธงและเพิ่มการสนับสนุนสำหรับสิ่งที่แนบรายละเอียด
• ทำความสะอาดกฎเครือข่ายการเขียน
• แก้ไขสองเท่า - & gt; ' เมื่อเขียนออกกฎ exec (lp # 1437901)
• แก้ไขปัญหาเมื่อการอ่าน 'ส่ง' และ 'ร่องรอย' บันทึกเหตุการณ์ (lp # 1243932, lp # 1426651)
• แก้ไขปัญหาการจัดการการกำหนดตัวแปรเพิ่มเติม
• แก้ไขความผิดพลาดเมื่อกฎเส้นทางแยกจากกันโดยกฎที่ไม่ใช่เส้นทาง.
• ซิงค์ utils และความคิด parsers ที่ไฟล์และไดเรกทอรีที่จะไม่สนใจ
• รายละเอียดปลีกย่อยอื่น ๆ
• เพิ่มจำนวนมากกรณีทดสอบและการปรับปรุงโครงสร้างพื้นฐานในการทดสอบ
• นโยบาย:
• การปรับปรุงรูปแบบดังต่อไปนี้ ...
• mysqld
• พิราบ (# 1296667 lp)
• dnsmasq (BNC # 911001, lp # 1403468 ขอบคุณเซดริก Bosdonnat และคาเมรอนนอร์แมน)
• การปรับปรุงแนวคิดต่อไปนี้:
• ฐาน - อนุญาตให้เขียนไปซ็อกเก็ตวารสาร systemd (lp # 1413232)
• ASpell - อนุญาตให้เข้าถึง / usr / share / ASpell / (ขอบคุณเฟลิกซ์เกเยอร์)
• ssl_certs - เพิ่มการสนับสนุนสำหรับ / etc / PKI (ขอบคุณ Dschung เกรเกอร์)
• ubuntu_email - เพิ่มไคลเอนต์อีเมล Geary (ขอบคุณคาเมรอน Normon)
• อูบุนตู-ช่วยเหลือ - ให้รุ่นของแบบอักษร texlive (lp # 1010909)
• X - เพิ่มเส้นทาง GDM ใหม่ (lp # 1432126)
• mir - นามธรรมใหม่ (lp # 1422521)
• เอกสาร:
• คำอธิบายกฎเครือข่ายแก้ไขและลบการอ้างอิงไปยังโปรแกรมล้าสมัยชิ้นใน apparmor.d (5)

มีอะไรใหม่ ในรุ่น 2.9.1:

• การปรับปรุงและถาวร
• libapparmor:
• บันทึกการแก้ไขสำหรับการแยกเมล็ด 3.16 + syslog-ng ที่ได้รับการป้องกันจากการทำงาน utils (lp # 1399027, BNC # 905368)
• อนุญาตให้ข้ามการสร้างของหน้าคนผ่านการกำหนดค่าตัวเลือก
• ตัวแยกวิเคราะห์นโยบาย:
• แยกของภูเขา fixups ตัวเลือก:
• แก้ไขตัวเลือกการติดตั้งไม่ถูกต้อง
• รวบรวมล้มเหลวถ้าตัวเลือกติดที่ไม่รู้จักจะพบ
• ไม่รักษา recursive ติดเป็นตัวเลือกตัวเลือกปกติ
• การแก้ไขข้อผิดพลาดในการพิมพ์ผิด
• เพิ่มการแยกภาษากรณีทดสอบ
• ทำความสะอาดบางประเด็นการจัดการไฟล์อธิบายเล็กน้อย
• Utils:
• การปรับปรุงจำนวนมากและแก้ไขข้อผิดพลาดที่ถูกสร้างขึ้นเพื่อเป็นเครื่องมือในหลามรวมทั้ง ...
• เสนอแนวคิดสำหรับกฎเครือข่ายที่ขาดหายไป (# 1380368 lp)
• ไม่ขอเครือข่ายที่มีกฎระเบียบที่มีอยู่ (# 1380367 lp)
• การปรับปรุงประสิทธิภาพการทำงานเมื่อแยกแฟ้มบันทึก
• อื่น ๆ แก้ไขข้อผิดพลาดอื่น ๆ
• นโยบาย:
• การปรับปรุงรูปแบบดังต่อไปนี้ ...
• dnsmasq
• NSCD
• useradd
• sendmail
• คน
• passwd
• เอกสาร:
• เอกสารความสามารถในการโหลดรูปแบบจากไดเรกทอรี
• เอกสารเกี่ยวกับกฎการซิงค์ติดกับการดำเนินการของตัวแยกวิเคราะห์
• แปล:
• การปรับปรุงเยอรมัน, อิตาลีแปล

มีอะไรใหม่ ในรุ่น 2.8.3:

• ข่าวประชาสัมพันธ์ฉบับนี้คือการปรับปรุงที่เพิ่มขึ้นมากกว่า 2.8 AppArmor 0.2 ปล่อยมุ่งเน้นที่การแก้ไขข้อบกพร่องในรหัส userspace.

มีอะไรใหม่ ในรุ่น 2.8.2:

• แก้ไขข้อผิดพลาด:
• Kshitij Gupta แก้ไขข้อผิดพลาดในการแสดงผล AA-logprof, AA-genprof กับ Glob และ Glob ที่มีต่อการวางรายการที่ซ้ำกันในรายการ แก้ไขแนะนำ Perl 5.10.1 หรือการพึ่งพาสูง.
• Gernot Vormayr คงมีศักยภาพโมฆะเขียนใน aa_getprocattr () เส้นทางที่ผิดพลาด
• ไมเคิล Palimaka คงอู่แปล
• แก้ไขสำหรับความล้มเหลวแคชเมื่อแฟ้มคุณลักษณะที่มีขนาดใหญ่กว่าบัฟเฟอร์ภายใน
• แคช apparmor_parser แก้ไขสถานที่ที่จะใช้ tempfile ผ่านหาเรื่อง
• ปรับปรุง:
• Dmitrijs Ledkovs คงกำหนดค่าการใช้งานการตั้งค่าหลามถ้ามันมีอยู่
• Dmitrijs Ledkovs ให้ python3 เปลี่ยนแปลง compability
• การปรับปรุงรายละเอียดอ้างอิง:
• Intrigeri ให้ abstractions / แบบอักษรปรับปรุง
• เฟลิกซ์เกเยอร์เพิ่มโลมา (เริ่มต้นการจัดการไฟล์ Kubuntu) รายชื่อของผู้จัดการแฟ้มใน abstractions / อูบุนตู-browsers.d / อูบุนตู-บูรณาการ.
• ย้าย CMAPs poppler จากคำพังเพยแบบอักษร; รวมถึงคำพังเพยแบบอักษร
• ปฏิเสธการเขียนงานพุ่งพรวดการประชุมผู้ใช้ใน abstractions / ไฟล์ส่วนตัว
• ปฏิเสธ @ {หน้าแรก} /. gnome2 / พวงกุญแจ / ** เพื่อ abstractions / เอกชนไฟล์ที่เข้มงวด
• เพิ่มการเข้าถึงแบบอ่านไป @ {} PROC sys / / เมล์ / overcommit_memory เพื่อ abstractions / ฐาน
• ไดเรกทอรีปรับปรุง PulseAudio และเส้นทางไฟล์คุกกี้
• เพิ่มสิทธิ์ไปรายละเอียด NSCD.
• ปฏิเสธ block_suspend ความสามารถในการ NSCD
• MariaDB เข้ากันได้ใน abstractions mysql /

มีอะไรใหม่ ในรุ่น 2.8.1:

• ข่าวประชาสัมพันธ์ฉบับนี้คือการปรับปรุงที่เพิ่มขึ้นมากกว่า 2.8 AppArmor 0.0 ปล่อยมุ่งเน้นที่การแก้ไขข้อบกพร่องในรหัส userspace.

มีอะไรใหม่ ในรุ่น 2.6.1:

• การปรับปรุงและถาวร
• AppArmor โมดูล apache2 (mod_apparmor):
• แก้ไขเวลาสร้างการเชื่อมโยงปัญหาที่ป้องกัน mod_apparmor จากการทำงาน (LP: # 737074)
• AppArmor ตัวแยกวิเคราะห์:
• อนุญาตให้แยกวิเคราะห์เพื่อระบุโปรโตคอลเครือข่ายมากขึ้นโดยการแก้ไขชุดกรองออกที่สร้างเวลา (LP: # 732837)
• parser แก้ไขเพื่อตรวจสอบการประทับเวลาของตัวเองกับโพรไฟล์ที่เก็บไว้เพื่อให้แน่ใจว่าในการอัพเกรด parser แคชได้รับการสร้างใหม่ (LP: # 731184)
• การจับคู่รายละเอียดการแก้ไขปัญหาเมื่อชื่อสิ่งที่แนบมาไม่ได้มีรูปแบบ regex ​​(รายละเอียดเช่นโครเมียมเบราว์เซอร์ / usr / lib / เบราว์เซอร์โครเมียม / โครเมียมเบราว์เซอร์) (LP: # 731155)
• เพิ่มแก้ปัญหาสำหรับเมล็ดเก่าที่ไม่ถูกต้องกรองโปรโตคอลเครือข่ายใหม่เกิน AF_MAX (LP: # 727478)
• การแก้ไขปัญหาความแตกแยก rc.apparmor.functions (LP: # 735429)
• AppArmor โปรไฟล์:
• fixups ไมเนอร์โปรไฟล์
• แก้ไข 'ให้ตรวจสอบเป้าหมายการทดสอบเพื่อให้ครอบคลุมในรูปแบบพิเศษตามที่ตั้งใจไว้
• AppArmor การทดสอบการถดถอย:
• แก้ไขการทดสอบ TCP ง่ายและเปิดการใช้งานโดยค่าเริ่มต้น

มีอะไรใหม่ ในรุ่น 2.6.0:

• AppArmor ตัวแยกวิเคราะห์:
• เพิ่มการสนับสนุนสำหรับรายละเอียดชื่อที่มีความเป็นอิสระของการกำหนดสิ่งที่แนบมา
• รวบรวมนโยบายได้เร็วขึ้นด้วยการใช้หน่วยความจำสูงสุดน้อย
• เพิ่มคำหลักที่เปลี่ยนแปลง exec ปลอดภัย
• ทำให้ชั้นนำสิทธิ์ x สอดคล้องกับท้ายสิทธิ์ x
• รวบรวมข้อมูลนโยบายใหม่ธงการถ่ายโอนข้อมูล
• write_cache จะไม่ได้รับการยกเว้นการดำเนินการ (สิทธิ์ยังคงใช้ DAC)
• timestamps ไฟล์ที่ใช้ในการตรวจสอบว่าแคชจะค้างในการโหลด
• แก้ไข dfa ทิ้งกราฟ
• เพิ่มตัวเลือก -o นโยบายการถ่ายโอนข้อมูลที่รวบรวมไปยังแฟ้ม
• รื้อฟื้น -p (preprocess) ธง
• แก้ไขสอง x (รัน) ข้อบกพร่องความขัดแย้งการเปลี่ยนแปลง (LP: # 693082) และเพิ่ม testcases
• initscripts ช่วยให้การทำงานกับเคอร์เนลต้นน้ำที่ขาดหายไปแพทช์เข้ากันได้
• ข้ามการทดสอบในระหว่างการสร้างแคชเมื่อ securityfs ไม่ได้ติดตั้ง
• แบ่งออกทำให้เป้าหมายเพื่อให้ผู้จัดจำหน่ายที่ไม่ต้องการเอกสารฉบับเต็มสามารถเลือกเป้าหมายที่พวกเขาต้องการ
• AppArmor Utils (AA-genprof / AA-logprof):
• มาตรฐานในทุก Utils ใช้ & quot; AA- & quot; คำนำหน้า
• ปิดการใช้งานเพิ่ม-AA, ยูทิลิตี้ที่จะปิดการใช้งานรูปแบบ
• การปรับปรุง apparmor.vim ให้มากขึ้นได้อย่างถูกต้องแยกไวยากรณ์ภาษานโยบายปัจจุบัน
• นามธรรมที่ตั้งของผู้ขายของ Perl สำหรับ distros แทนที่ถ้าจำเป็นเวลาติดตั้ง
• แก้ไขการตั้งบ่นโหมด subprofiles (LP: # 707092)
• bugfixes ย่อยอื่น ๆ
• AppArmor ห้องสมุด (libapparmor):
• เพิ่มการสนับสนุนสำหรับ auditd ใหม่ในรูปแบบข้อความ.
• ทำให้ change_hatv () change_hat_varargs () สามารถใช้ได้ผ่านทางอินเตอร์เฟซอึก
• แก้ไขหลามผูกอึกสามารถทำงานได้
• AppArmor ปล่อยเปลี่ยนแปลงกว้าง:
• ใหม่ / การปรับปรุงการทดสอบการถดถอย
• การปรับปรุงใหม่และนามธรรมรายละเอียด
• ใหม่และมีการปรับปรุงรูปแบบการอ้างอิง
• แพทช์การทำงานร่วมกันเคอร์เนลสดชื่นสำหรับรุ่นล่าสุดของเมล็ด
• เอกสารการปรับปรุงและไฟล์แปล
• แก้ไขขึ้นคราวสร้าง
• ทำให้การทำงานของการตั้งค่าเป้าหมายที่เป็นอิสระ
• เปลี่ยนโดเมนย่อยกับ AppArmor ในกรณีส่วนใหญ่
• สร้างรหัสและการสะสางความคิดเห็น

มีอะไรใหม่ ในรุ่น 2.5.1:

• แก้ไขข้อผิดพลาดและการเพิ่มประสิทธิภาพ:
• AppArmor โปรไฟล์:
• (LP: # 611248) แก้ไขนามธรรมคำพังเพยรถตัก GDK pixbuf
• (LP: # 538661) ปรับเส้นทาง cgi สำหรับนามธรรม php5
• เพิ่ม 'k' เพื่อ /var/lib/samba/**.tdb ในนามธรรม samba
• abstractions / tmp ใช้: ต้อง 'เจ้าของ' การจับคู่
• ประวัติ / apparmor.d / แนวคิด / ฐาน: statvfs ได้รับอนุญาตตามค่าเริ่มต้น
• เพิ่มนามธรรม dbus เซสชั่น (และใช้ Pix มากกว่า Uix)
• AppArmor ตัวแยกวิเคราะห์:
• (LP: # 599450). เปลี่ยนการปรับขนาดตารางเพื่อให้มีอยู่เสมอรายการที่สูงเพียงพอในตารางการป้องกันการละเมิดขอบเขตเกิดขึ้น
• (LP: # 626984). ป้องกันการแยกวิเคราะห์จาก crashing เมื่อทำงานกับรุ่น 2.6.36 ต้นน้ำของ AppArmor ซึ่งไม่ได้แยกวิเคราะห์คาดว่าจะนำเสนอข้อมูล
• เลื่อนการแสดงออกของการติดฉลากโหนดโหนด expr เข้าไปในตัวเองที่จะลดการใช้หน่วยความจำและทำให้การติดฉลากโหนดต่อ dfa มากกว่าระดับโลก.
• ทำความสะอาด firstpos ชุด lastpos และ followpos ก่อนที่จะลดการใช้หน่วยความจำสูงสุด.
• เพิ่มความสามารถในการถ่ายโอนข้อมูล apparmor_parser โปรไฟล์บี้ ผ่านธง -p จะ apparmor_parser ทำให้เกิดการถ่ายโอนข้อมูลรายละเอียดบี้ที่มีข้อความทั้งหมดรวมถึงที่ stdout.
• แก้ไขการรั่วไหลของหน่วยความจำในช่วงลด dfa.
• (LP: # 588012). แก้ไขการรั่วไหลอธิบายไฟล์ไฟล์รวม
• (LP: # 588014). รายงานที่ถูกต้องชื่อไฟล์ / หมายเลขบรรทัดกับข้อผิดพลาดในการแยกวิเคราะห์
• ตรวจสอบเมื่อ abstractions ได้รับการแก้ไขและทำให้การแคชไฟล์รายละเอียดเมื่อโหลด.
• รวบรวมแก้ไข / สร้างคำเตือน.
• AppArmor ห้องสมุด (libapparmor):
• แก้ไข Perl SWIG ผูกเพื่อ libapparmor ที่สามารถสร้างขึ้นเมื่อกำหนดค่าโดยไม่ต้อง Perl.
• เพิ่มการสนับสนุนสำหรับรูปแบบข้อความ LSM_AUDIT
• การสนับสนุนการปรับปรุงสำหรับการเปลี่ยนแปลงข้อความเล็ก ๆ น้อย ๆ ที่เกิดขึ้นเป็นส่วนหนึ่งของความพยายาม upstreaming
• AppArmor แจ้งเตือนสก์ท็อป (apparmor_notify):
• แก้ไขการรั่วไหลของหน่วยความจำ
• (LP: # 582075) กลุ่ม apparmor_notify รายการเช่นกันเมื่อใช้กับ -v -s
• การตั้งค่าในขณะนี้ notify.conf ค่าเริ่มต้นเมื่อวันที่ (apparmor_notify ไม่ได้ติดตั้งโดยปกติค่าเริ่มต้น)
• เพิ่มตัวเลือกยาว
• เอาท์พุท Cleanup
• การจัดการที่ดีขึ้น auditd
• การหมุนมือจับ logfile
• ใช้ seteuid () เพื่อรับสิทธิพิเศษลดลงเพื่อให้เราสามารถเพิ่ม / ลดลงหลังจากที่เข้าสู่ระบบการหมุนแฟ้ม เพิ่มตัวเลือกของผู้ใช้สำหรับการวาง -u สิทธิพิเศษเมื่อไม่ได้ใช้ sudo
• การปรับปรุงหน้าคน
• AppArmor Utils (genprof / logprof):
• (LP: # 623467) SubDomain.pm: เพิ่มการสนับสนุนสำหรับตัดรายงานที่แตกต่างกัน rename_src, rename_dest และการดำเนินงาน mkdir
• AppArmor PAM ห้องสมุด (pam_apparmor):
• (LP: # 619521). สอน pam_apparmor เกี่ยวกับ errno ปัจจุบันกลับโดยเคอร์เนลเมื่อหมวกที่ถูกส่งผ่านไม่ได้อยู่ในรายละเอียด (แต่หมวกอื่น ๆ อยู่)