У SELinux появился более удобный аналог

12.01.2006 19:48

Компания Novell объявила об открытии под лицензией GPL исходных текстов системы AppArmor, разработкой которой занималась приобретенная Novell'ом в прошлом году компания Immunix. До настоящего времени ПО AppArmor поставлялось в комплекте с SUSE Linux в бинарном виде. Комплекс AppArmor предназначен для контроля за выполнением программ в Linux, в соответствии с заданной политикой безопасности.

По сути, он выполняет те же функции, что и SELinux (также похож на Systrace), только имеет одно существенное преимущество - он более прозрачен и прост в настройке.

При установке модуль ядра AppArmor использует интерфейс LSM (Linux Security Modules), т.е. никаких патчей накладывать не нужно.

Пример конфигурации для сервиса ntpd:

  /usr/sbin/ntpd {  #include <abstractions/base>>  #include <abstractions/nameservice>  #include <program-chunks/ntpd>  capability ipc_lock,  capability net_bind_service,  capability sys_time,  capability sys_chroot,  capability setuid,  /etc/ntp.conf       r,  /etc/ntp/drift*      rwl,  /etc/ntp/keys       r,  /etc/ntp/step-tickers   r,  /tmp/ntp*         rwl,  /usr/sbin/ntpd      rix,  /var/log/ntp       w,  /var/log/ntp.log     w,  /var/run/ntpd.pid     w,  /var/lib/ntp/drift    rwl,  /var/lib/ntp/drift.TEMP  rwl,  /var/lib/ntp/var/run/ntp/ntpd.pid w,  /var/lib/ntp/drift/ntp.drift   r,  /drift/ntp.drift.TEMP   rwl,  /drift/ntp.drift     rwl, }