AppArmor

Application Armor in breve AppArmor è un software di sicurezza per Linux distribuito sotto licenza GNU General Public License. Dal 2005 fino al settembre 2007 fu sostenuto da Novell^[1].

AppArmor software
Logo
Genere	Sicurezza informatica
Sviluppatore	Novell, Canonical Ltd. e Immunix
Ultima versione	3.1.7 (2 febbraio 2024)
Sistema operativo	Linux
Linguaggio	Python C Perl
Licenza	GNU General Public License (licenza libera)
Sito web	apparmor.net/

Permette all'amministratore di sistema di associare ad ogni programma un profilo di sicurezza che ne limita le possibilità. Fa da supplemento alla tradizionale DAC.

È implementato usando l'interfaccia del kernel nota come Linux Security Modules. AppArmor fu creato in parte come alternativa a SELinux, ritenuto difficile da configurare e mantenere. AppArmor si basa sui percorsi dei file, invece SELinux applica delle particolari etichette di sicurezza ai file. Ciò rende AppArmor indipendente dal filesystem, a differenza di SELinux che richiede un filesystem con supporto per le etichette.

Nel settembre 2007, Novell ha licenziato gran parte del gruppo di lavoro di AppArmor^[2].

Dalla versione del kernel 2.6.35 è stata annunciata l'integrazione della piattaforma per consentire di potenziare i criteri delle policy d'accesso per i software GNU/Linux.

Modalità operative

AppArmor può operare in due modi: enforcement e learning.

• Enforcement, i profili caricati in questa modalità si tradurranno in esecuzione delle policy e verranno registrati tutti i tentativi di violazione delle norme stabilite;
• Learning, i profili sono caricati in modalità complain e non verranno applicate le restrizioni delle policy. Generalmente la modalità learning è indicata per lo sviluppo dei profili.

Verifica del servizio tramite shell

È possibile controllare lo status dell'attività del servizio AppArmor tramite shell.

Invocando il programma aa-status si potrà visualizzare il seguente output^[3]:

$ aa-status
apparmor module is loaded.
10 profiles are loaded.
10 profiles are in enforce mode.
   /usr/sbin/ntpd
   /usr/sbin/identd
   /sbin/klogd
   /sbin/syslogd
   /sbin/syslog-ng
   /usr/sbin/traceroute
   /usr/sbin/nscd
   /usr/sbin/mdnsd
   /bin/ping
   /usr/sbin/avahi-daemon
0 profiles are in complain mode.
2 processes have profiles defined.
2 processes are in enforce mode :
   /usr/sbin/nscd (1942) 
   /usr/sbin/avahi-daemon (1871) 
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.