Home
Packages
Forums
Wiki
GitLab
Security
AUR
Download
コンテンツにスキップ
メインメニュー
メインメニュー
サイドバーに移動
非表示
案内
メインページ
目次
コミュニティに貢献
最近の出来事
おまかせ表示
特別ページ
交流
ヘルプ
貢献
最近の更新
最近の議論
新しいページ
統計
リクエスト
ArchWiki
検索
検索
表示
アカウント作成
ログイン
個人用ツール
アカウント作成
ログイン
AppArmorのソースを表示
ページ
議論
日本語
閲覧
ソースを閲覧
履歴を表示
ツール
ツール
サイドバーに移動
非表示
操作
閲覧
ソースを閲覧
履歴を表示
全般
リンク元
関連ページの更新状況
ページ情報
表示
サイドバーに移動
非表示
←
AppArmor
あなたには「このページの編集」を行う権限がありません。理由は以下の通りです:
この操作は、次のグループに属する利用者のみが実行できます:
登録利用者
。
このページのソースの閲覧やコピーができます。
[[Category:セキュリティ]] [[Category:カーネル]] [[en:AppArmor]] {{Related articles start}} {{Related|TOMOYO Linux}} {{Related|SELinux}} {{Related articles end}} [[Wikipedia:AppArmor|AppArmor]] は[[Wikipedia:ja:強制アクセス制御|強制アクセス制御]] (MAC) のシステムです。[[Wikipedia:ja:Linux_Security_Modules|Linux Security Modules]] (LSM) 上に実装されています。 == インストール == === カーネル === カーネルをコンパイルするときに、以下のオプションを使用する必要があります: CONFIG_SECURITY_APPARMOR=y CONFIG_SECURITY_APPARMOR_BOOTPARAM_VALUE=1 CONFIG_DEFAULT_SECURITY_APPARMOR=y {{ic|CONFIG_SECURITY_APPARMOR_BOOTPARAM_VALUE}} と {{ic|CONFIG_DEFAULT_SECURITY_APPARMOR}} を使うかわりに、[[カーネルパラメータ|カーネルブートパラメータ]]を設定することもできます: {{ic|apparmor=1 security=apparmor}}。 AUR には AppArmor が有効になっているカーネルが存在します: {{AUR|linux-apparmor}}。ただし、2015年5月現在、このカーネルはやや古くなっています。 === ユーザースペースツール === AppArmor を制御するためのユーザースペースツールとライブラリは [[AUR]] の {{AUR|apparmor}} パッケージに入っています。 このパッケージは以下のサブパッケージに分かれています: * apparmor (メタパッケージ) * apparmor-libapparmor * apparmor-utils * apparmor-parser * apparmor-profiles * apparmor-pam * apparmor-vim 起動時に AppArmor プロファイルをロードするための systemd ユニットが {{AUR|apparmor}} パッケージに含まれています: # systemctl enable apparmor === テスト === 再起動後、次のコマンドを root で使うことで AppArmor が本当に有効になってるかテストできます: # cat /sys/module/apparmor/parameters/enabled Y (Y=有効, N=無効, no such file = カーネルに該当モジュールなし) == 無効化 == 一時的に AppArmor を無効化するには、[[カーネルパラメータ|カーネルブートパラメータ]]に {{ic|apparmor=0 security=""}} を追加します。 == 新しいプロファイルの作成 == {{ic|aa-genprof}} を使って新規プロファイルを作成するには、{{Pkg|audit}} パッケージの {{ic|auditd.service}} を動作させる必要があります。作成した後は無駄なのでサービスを停止 (そして {{ic|auditd.service}} を消去) してください。 == セキュリティについての考察 == === リンクによるパスベースの MAC の迂回 === 標準の POSIX セキュリティモデルでは、ハードリンクを使うことで AppArmor は迂回できるようになっています。ただし、現在カーネルにはこの脆弱性を塞ぐ機能が備わっており、Ubuntu など他のディストリビューションのようにカーネルにパッチを適用する必要はなくなっています。 詳しくは[[セキュリティ#リンクの TOCTOU 攻撃を防止する]]を見て下さい。 == その他 == AppArmor は他の LSM と同じように、デフォルトの任意アクセス制御を置き換えるというよりは補足するものです。そのため、任意アクセス制御の段階よりも強力な権限をプロセスに与えることは出来ません。 Ubuntu や SUSE など多数のディストリビューションは AppArmor をデフォルトで使用しています。RHEL (やその亜種) は SELinux を使っています。SELinux は正しく動作させるためにユーザースペースでの工夫が必要となります。また、SELinux は適切に設定するのが大変難しいというのも周知です。 例を上げると、新しい Flash の脆弱性が考えられます: 悪意のあるウェブサイトにアクセスしたとき、AppArmor は脆弱性があるプラグインから個人情報にアクセスされることを防ぐことができます。ほとんどのブラウザで、プラグインのプロセスは簡単に分離することができます。 AppArmor のプロファイルは (大抵) {{ic|/etc/apparmor.d}} に簡単に読めるテキストファイルとして保存されます。 ポリシーが侵害された場合システムログにメッセージが残り、多くのディストリビューションでは DBUS と連携してデスクトップ上に警告メッセージとしてリアルタイムで表示します。 == 参照 == * 公式ページ ** カーネル: https://apparmor.wiki.kernel.org/ http://wiki.apparmor.net/ ** ユーザースペース: https://launchpad.net/apparmor * http://www.kernel.org/pub/linux/security/apparmor/AppArmor-2.6/ * http://wiki.apparmor.net/index.php/AppArmor_Core_Policy_Reference * http://ubuntuforums.org/showthread.php?t=1008906 (チュートリアル) * https://help.ubuntu.com/community/AppArmor *{{Bug|21406}} * http://stuff.mit.edu/afs/sipb/contrib/linux/Documentation/apparmor.txt * http://wiki.apparmor.net/index.php/Kernel_interfaces * http://wiki.apparmor.net/index.php/AppArmor_versions * http://manpages.ubuntu.com/manpages/oneiric/man5/apparmor.d.5.html * http://manpages.ubuntu.com/manpages/oneiric/man8/apparmor_parser.8.html * http://wiki.apparmor.net/index.php/Distro_CentOS * http://bodhizazen.net/aa-profiles/ * https://wiki.ubuntu.com/ApparmorProfileMigration * [[wikipedia:ja:Linux_Security_Modules]] * http://wiki.apparmor.net/index.php/Gittutorial
このページで使用されているテンプレート:
テンプレート:Hc
(
ソースを閲覧
)
テンプレート:Ic
(
ソースを閲覧
)
テンプレート:META Related articles start
(
ソースを閲覧
)
テンプレート:Man
(
ソースを閲覧
)
テンプレート:Note
(
ソースを閲覧
)
テンプレート:Pkg
(
ソースを閲覧
)
テンプレート:Related
(
ソースを閲覧
)
テンプレート:Related articles end
(
ソースを閲覧
)
テンプレート:Related articles start
(
ソースを閲覧
)
テンプレート:Tip
(
ソースを閲覧
)
AppArmor
に戻る。
検索
検索
AppArmorのソースを表示
話題を追加