Journal AppArmor libéré

Posté par  .
Étiquettes :
0
17
jan.
2006
En fin de semaine dernière, Novell a annoncé qu'il ouvrait le code de AppArmor et le diffusait sous Licence GPL [1].

AppArmor est un logiciel de sécurisation de Linux, sur la même lignée que SELinux, mais se voulant plus simple et différent : selon Novell, AppArmor fournit un environnement de sécurité assez simple, contrairement à d'autres qui sont plus compliqués donc désactivés par les utilisateurs. (je crois que Novell pensait à SELinux).

AppArmor [3] est intégré à SUSE Entreprise Server 9 SP3 et OpenSuSE. Vous pourrez trouver les "features" sur le lien [2].

"Mettons, par exemple, que vous ayez un serveur Web, vous voulez peut-être que ce serveur soit capable de lire des documents sur le serveur et de les transmettre à ceux qui en font la demande. Mais il se peut que vous ne préfériez pas que ce serveur soit capable de modifier ces documents qui sont stockés dans une base de données", explique Dan Homolka, spécialiste technique de Linux chez Novell au Royaume-Uni. "Avec AppArmor, vous pouvez facilement mettre en place une politique stipulant ce que le serveur web peut faire et ce qui lui est interdit. Ce qui signifie que même si quelqu'un pirate le système, le serveur web ne pourra pas modifier les documents."

Vous trouverez également de la documentation ici [4]. En lisant la documentation de l'administrateur, vous pourrez vous rendre compte que la configuration peut être faite en mode YaST (et bien entendu également en mode texte)

[1] http://www.vnunet.fr/actualite/reseau/technologie/2006011601(...)
[2] http://www.novell.com/products/apparmor/features.html
[3] http://www.novell.com/products/apparmor/
[4] http://www.novell.com/documentation/apparmor/

  • # AppArmor

    Posté par  (site web personnel) . Évalué à 4.

    J'avais hésité à rédiger une news au moment de l'annonce...mais finalement je m'y connaissais pas assez pour me lancer dans un truc solide.
    A noter quand même que AppArmor semble beaucoup plus simple que SELinux et que la syntaxe des policy est assez lisible (ci-dessous un exemple de policy pour confiner le démon NTPD) :

    /usr/sbin/ntpd {
    #include <abstractions/base>
    #include <abstractions/nameservice>
    #include <program-chunks/ntpd>
    capability ipc_lock,
    capability net_bind_service,
    capability sys_time,
    capability sys_chroot,
    capability setuid,
    /etc/ntp.conf r,
    /etc/ntp/drift* rwl,
    /etc/ntp/keys r,
    /etc/ntp/step-tickers r,
    /tmp/ntp* rwl,
    /usr/sbin/ntpd rix,
    /var/log/ntp w,
    /var/log/ntp.log w,
    /var/run/ntpd.pid w,
    /var/lib/ntp/drift rwl,
    /var/lib/ntp/drift.TEMP rwl,
    /var/lib/ntp/var/run/ntp/ntpd.pid w,
    /var/lib/ntp/drift/ntp.drift r,
    /drift/ntp.drift.TEMP rwl,
    /drift/ntp.drift rwl,
    }

    Et encore ici LinuxFr bouffe l'indentation.
    Quelques liens du wiki OpenSuse (mieux foutu que la doc Novell) :

    http://www.opensuse.org/Apparmor

    http://www.opensuse.org/AppArmor_Detail

  • # AppArmor

    Posté par  (site web personnel) . Évalué à 6.

    A noter que le développeur principal de AppArmor (il avait fondé Immunix que Novell a racheté) viendra parler au FOSDEM. (http://www.fosdem.org).

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.