Articulo de referencia

Armadura de aplicaciones

AppArmor ("Application Armor") es un módulo de seguridad del núcleo Linux que permite al administrador del sistema restringir las capacidades de los programas con perfiles por p...

AppArmor ("Application Armor") es un módulo de seguridad del núcleo Linux que permite al administrador del sistema restringir las capacidades de los programas con perfiles por programa. Los perfiles pueden permitir capacidades como acceso a la red, acceso a sockets sin formato y permiso para leer, escribir o ejecutar archivos en rutas coincidentes. AppArmor complementa el modelo tradicional de control de acceso discrecional (DAC) de Unix al proporcionar control de acceso obligatorio (MAC). Se ha incluido parcialmente en el núcleo principal de Linux desde la versión 2.6.36 y su desarrollo ha sido respaldado por Canonical desde 2009.

Detalles

Además de crear perfiles manualmente, AppArmor incluye un modo de aprendizaje en el que se registran las infracciones de los perfiles, pero no se evitan. Este registro se puede utilizar para generar un perfil de AppArmor basado en el comportamiento típico del programa.

AppArmor se implementa utilizando la interfaz del kernel de Módulos de seguridad de Linux (LSM).

AppArmor se ofrece en parte como una alternativa a SELinux , que los críticos consideran difícil de configurar y mantener para los administradores. [3] A diferencia de SELinux, que se basa en la aplicación de etiquetas a los archivos, AppArmor funciona con rutas de archivos. Los defensores de AppArmor afirman que es menos complejo y más fácil de aprender para el usuario medio que SELinux. [4] También afirman que AppArmor requiere menos modificaciones para funcionar con los sistemas existentes. [ cita requerida ] Por ejemplo, SELinux requiere un sistema de archivos que admita "etiquetas de seguridad" y, por lo tanto, no puede proporcionar control de acceso para archivos montados a través de NFS . AppArmor es independiente del sistema de archivos.

Otros sistemas

AppArmor representa uno de varios enfoques posibles al problema de restringir las acciones que puede realizar el software instalado.

El sistema SELinux generalmente adopta un enfoque similar al de AppArmor. Una diferencia importante: SELinux identifica los objetos del sistema de archivos por el número de inodo en lugar de la ruta. Con AppArmor, un archivo inaccesible puede volverse accesible si se crea un enlace físico al mismo. Esta diferencia puede ser menos importante de lo que era antes, ya que Ubuntu 10.10 y versiones posteriores la mitigan con un módulo de seguridad llamado Yama, que también se utiliza en otras distribuciones. [5] El modelo basado en inodos de SELinux siempre ha negado inherentemente el acceso a través de enlaces físicos recién creados porque el enlace físico estaría apuntando a un inodo inaccesible.

SELinux y AppArmor también difieren significativamente en cómo se administran y cómo se integran en el sistema.

El aislamiento de procesos también se puede lograr mediante mecanismos como la virtualización; el proyecto One Laptop per Child (OLPC), por ejemplo, aísla aplicaciones individuales en un servidor Vserver liviano .

En 2007, se introdujo el núcleo de control de acceso obligatorio simplificado .

En 2009, se incluyó una nueva solución llamada Tomoyo en Linux 2.6.30; al igual que AppArmor, también utiliza control de acceso basado en rutas.

Disponibilidad

AppArmor se utilizó por primera vez en Immunix Linux 1998–2003. En ese momento, AppArmor se conocía como SubDomain, [6] [7] una referencia a la capacidad de un perfil de seguridad para un programa específico de segmentarse en diferentes dominios, entre los cuales el programa puede cambiar dinámicamente. AppArmor estuvo disponible por primera vez en SLES y openSUSE y se habilitó por primera vez de forma predeterminada en SLES 10 y en openSUSE 10.1.

En mayo de 2005, Novell adquirió Immunix y renombró SubDomain como AppArmor, y comenzó a limpiar y reescribir el código para incluirlo en el núcleo de Linux . [8] Desde 2005 hasta septiembre de 2007, Novell mantuvo AppArmor. Novell fue adquirida por SUSE, que ahora es el propietario legal de la marca registrada AppArmor. [9]

AppArmor se adaptó y empaquetó con éxito por primera vez para Ubuntu en abril de 2007. AppArmor se convirtió en un paquete predeterminado a partir de Ubuntu 7.10 y llegó como parte del lanzamiento de Ubuntu 8.04, protegiendo solo CUPS de manera predeterminada. A partir de Ubuntu 9.04, se instalaron más perfiles como MySQL. El endurecimiento de AppArmor continuó mejorando en Ubuntu 9.10, ya que se entrega con perfiles para su sesión de invitado, máquinas virtuales libvirt , el visor de documentos Evince y un perfil opcional de Firefox. [10]

AppArmor se integró en la versión del kernel 2.6.36 de octubre de 2010. [11] [12] [13] [14]

AppArmor se ha integrado al DSM de Synology desde la versión 5.1 Beta en 2014. [15]

AppArmor se habilitó en Solus Release 3 el 15/8/2017. [16]

AppArmor está habilitado de forma predeterminada en Debian 10 (Buster) , lanzado en julio de 2019. [17]

AppArmor está disponible en el repositorio adicional de Arch Linux . [18]

Véase también

Referencias

  1. ^ "Notas de la versión 3.1.7 · Wiki · AppArmor / apparmor · GitLab". 2 de febrero de 2024. Consultado el 18 de marzo de 2024 .
  2. ^ El proyecto de código abierto AppArmor: Application Armor en Open Hub: Página de idiomas
  3. ^ Mayank Sharma (11 de diciembre de 2006). «SELinux: seguridad integral al precio de la usabilidad» . Consultado el 11 de junio de 2023 .
  4. ^ Ralf Spenneberg (agosto de 2006). "Armadura protectora: cómo evitar intrusos con AppArmor". Linux Magazine. Archivado desde el original el 21 de agosto de 2008. Consultado el 2 de agosto de 2008 .
  5. ^ "Seguridad/Características - Wiki de Ubuntu". wiki.ubuntu.com . Consultado el 19 de julio de 2020 .
  6. ^ Vincent Danen (17 de diciembre de 2001). "Immunix System 7: seguridad en Linux con un casco (no un Red Hat)". Archivado desde el original el 23 de mayo de 2012.
  7. ^ WireX Communications, Inc. (15 de noviembre de 2000). "Immunix.org: la fuente de componentes y plataformas Linux seguras". Archivado desde el original el 3 de febrero de 2001.
  8. ^ "AppArmor_Historial · Wiki · AppArmor / apparmor".
  9. ^ Marca registrada de EE. UU. 78,876,817
  10. ^ "SecurityTeam/KnowledgeBase/AppArmorProfiles – Wiki de Ubuntu" . Consultado el 9 de enero de 2011 .
  11. ^ James Corbet (20 de octubre de 2010). "El kernel 2.6.36 ya está disponible".
  12. ^ Linus Torvalds (20 de octubre de 2010). «Registro de cambios». Archivado desde el original el 4 de septiembre de 2011.
  13. ^ "Linux 2.6.36". 20 de octubre de 2010.
  14. ^ Sean Michael Kerner (20 de octubre de 2010). «Linux Kernel 2.6.36 obtiene AppArmor». Archivado desde el original el 3 de febrero de 2018. Consultado el 21 de octubre de 2010 .
  15. ^ "Notas de la versión del programa Beta de DSM 5.1".[ enlace muerto permanente ]
  16. ^ "La distribución Linux Solus 3 se lanzó para entusiastas".
  17. ^ "Nuevo en Buster".
  18. ^ "Arch Linux - paquete apparmor-pkgrel (x86_64)".
  • Wiki de AppArmor
  • AppArmor - Wiki de Ubuntu
  • SDB:AppArmor - Wiki de openSUSE
  • Armadura de aplicaciones - ArchWiki
  • CONTRAPUNTO: Los expertos en seguridad de Novell y Red Hat se enfrentan en AppArmor y SELinux
  • SLES 15 SP2 | Guía de seguridad y fortalecimiento | Limitación de privilegios con AppArmor
  • LKML: Tony Jones: [RFC][PATCH 0/11] seguridad: AppArmor - Descripción general
Obtenido de "https://es.wikipedia.org/w/index.php?title=AppArmor&oldid=1229486132"