SDB:AppArmor
Indice
Panoramica
Incluso in openSUSE e SUSE Linux Enterprise, AppArmor è uno strumento per la protezione delle applicazioni progettato per fornire un framework per la sicurezza ad elevate prestazioni e facile da usare. AppArmor protegge pro-attivamente il sistema operativo e le applicazioni da minacce interne o esterne, perfino da attacchi "zero-day", forzando un comportamento corretto e addirittura impedendo che siano sfruttati i difetti sconosciuti delle applicazioni. Le impostazioni di sicurezza di AppArmor, chiamate "profiles", definiscono precisamente a quali risorse di sistema, e con quali privilegi, possono accedere le singole applicazioni. In AppArmor sono inclusi alcuni profiles predefiniti che, usando analisi statiche avanzate e strumenti basati su metodi di apprendimento, possono essere schierati con successo anche per applicazioni molto complesse, nel giro di alcune ore.
Una descrizione dettagliata di AppArmor è disponibile per discutere il problema che si intende risolvere con Apparmor, la tecnologia e i paradigmi per risolverlo. È inoltre disponibile una guida per geek, con più dettagli e meno marketing.
- openSUSE 10.3 include AppArmor 2.1, che ha ricevuto numerosi miglioramenti a alcune modifiche di semantica. Per una descrizione dettagliata delle modifiche vedi qui.
- openSUSE 11.0 include AppArmor 2.3, che presenta numerose ulterirori migliorie e alcune modifiche di semantica. Per una descrizione dettagliata delle modifiche vedi qui.
Ottenere il software
I pacchetti per AppArmor possono essere scaricati dal build service, mentre gli RPM dello stesso sono inclusi in openSUSE 10.1 e successive.
Pacchetti integrati sono inoltre inclusi con tutte le distribuzioni di SUSE, da SUSE Linux Enterprise Server 9, Service Pack 3 (SLES9 SP3) in avanti, incluse SLES10, SLED10, e openSUSE. Questi pacchetti sono tutti distribuiti con licenza GPL2.
AppArmor integrato in openSUSE e SUSE Linux Enterprise
AppArmor consiste di:
- un modulo kernel, fornito con il kernel Linux di SUSE, che rafforza i profili di sicurezza
- una collezione di RPM, anch'essa distribuita con SUSE Linux, che fornisce:
- un insieme di profili di AppArmor per numerosi programmi che vengono forniti con SUSE Linux
- strumenti per creare e amministrare sia i nuovi profili di AppArmor sia quelli esistenti
- una interfaccia utente in YAST per la gestione dei report e delle notifiche relativamente agli eventi riguardanti la sicurezza
- documentazione sugli strumenti di AppArmor
È assai consigliato riavviare il sistema dopo aver completato l'installazione, in modo tale che AppArmor possa "confinare" tutti i demoni del sistema.
Gli RPM di AppArmor
Possono essere selezionati durante l'installazione del sistema operativo, o successivamente, attraverso l'interfaccia utente di YAST per la gestione dei pacchetti di SUSE Linux. I pacchetti sono:
libapparmor apparmor-profiles apparmor-utils apparmor-parser yast2-apparmor apparmor-docs
Versione di sviluppo di AppArmor
Per quanto riguarda le nuove caratteristiche che sono in fase di sviluppo, il wiki di AppArmor offre la possibilità di scaricare il codice sorgente per permettere alla comunità di esaminarlo e offrirne un feedback. Quando le nuove funzionalità saranno stabilizzate e pronte per essere integrate e usate, diventeranno parte di SUSE Linux.
Comunicare
Gli sviluppatori di AppArmor sono disponibili per domande nella mailing list di AppArmor upstream. La mailing list è rivolta a utenti finali e sviluppatori: domande su come usare AppArmor per proteggere i propri programmi sono lì le benvenute, domande e discussioni relative allo sviluppo futuro di AppArmor sono ugualmente benvenute.
Contribuire
Ci sono vari modi con cui puoi contribuire: creare profili AppArmor per le applicazioni che usi o segnalare i difetti e bug che hai riscontrato contribuirà a rendere openSUSE/SUSE Linux Enterprise una piattaforma più sicura per l'esecuzione delle tue applicazioni.
Profili di AppArmor
La distribuzione SUSE Linux integra gli strumenti di AppArmor e numerosi profili da usare per crearne di nuovi e per mettere in sicurezza le tue applicazioni. Puoi contribuire alla creazione di nuovi profili per le applicazioni che ti interessano seguendo la procedura per generare nuovi profili o per migliorare quelli esistenti. Questo procedimento è spiegato nel dettaglio nella sezione di AppArmor della guida alla sicurezza.
Se avete modificato o creato nuovi profili, potete scaricarli su bugzilla o inviarli alla AppArmor mailing list insieme a un caso pratico relativo al comportamento dell'applicazione che avete messo in esercizio. Il team di AppArmor lo visionerà e potrebbe includere il lavoro in SUSE Linux. Non è possibile garantire l'inclusione di ogni profilo ma ci sarà un sincero sforzo affinché ne sia incluso il maggior numero possibile, così che gli utenti finali possano contribuire maggiormente alla sicurezza dei profili forniti in SUSE Linux.
Correzione degli errori
Se riscontri un problema con uno degli strumenti o dei profili di Apparmor puoi usare bugzilla (product: SUSE LINUX X.Y, Component: AppArmor) per inviare la descrizione del problema. Per sapere quali informazioni ci sono maggiormente utili per correggere i bug, visita en:openSUSE:Bugreport_AppArmor.
Articoli nella stampa
- Valida descrizione e rapida panoramica con schermate: Protect your applications with AppArmor.
- Confronto di Linux Magazine tra AppArmor e SELinux: Linux Magazine Issue 69: August 2006.
- Confronto di eWeek tra AppArmor e SELinux: Wield the Shield: How Trustworthy Is Your OS?.
Altri collegamenti
- Crispin Cowan (guida del progetto AppArmor) mentre tiene un interessante discorso al FOSDEM 2006: http://ftp.heanet.ie/mirrors/fosdem-video/2006/FOSDEM2006-apparmor.avi (271 MB)