AppArmor

AppArmor jest open source i potężne narzędzie wiersza polecenia napisane w C, C ++, Perl, Unix shell i zaprojektowane, aby zapewnić dodatkową warstwę bezpieczeństwa dla systemu operacyjnego Linux. Jak sama nazwa wskazuje, AppArmor jest jak pancerz dla aplikacji systemu Linux, oferuje bezpieczeństwo aplikacji za pośrednictwem sieci niezbędnej kontroli dostępu dla aplikacji. Jest przeznaczony do ochrony systemu przed złośliwym oprogramowaniem różne.
AppArmor jest narzędziem wiersza polecenia, które zostało zaprojektowane z offsetu być łatwe w użyciu i skuteczne, natomiast aktywnie chroni cały swój system operacyjny oparty na systemie Linux i open source aplikacji z różnymi zagrożeniami. Wiele współczesnych dystrybucji GNU / Linux to oprogramowanie AppArmor przez opcje default.What są dostępne z linii poleceń The & lsquo;? & Rsquo apparmor; Polecenie zawiera szeroką gamę opcji, takich jak możliwość dodawania, wymiany lub usunięcia definicji AppArmor, zmusić profil w tryb wnoszenia skarg, ustawić wejścia jako skompilowane profili, profili i skompilowany wywrotek nazw profili na standardowe wyjście lub wejście, Napisać wyjście do konkretnego pliku, ustawić katalog bazowy i CWD, a także ustawić lokalizację systemu plików AppArmor.
Dodatkowo, zapewnia, że ​​wsparcie dla mapowania & rsquo profili; czytaj uprawnienia do pana, Raport cache Miss i uderzył szczegóły, zapisać w pamięci podręcznej profile, ustawić lokalizację pamięci podręcznej profilu, nazwy profilu wyświetlacz, ponieważ są one załadowane, definicje debug AppArmor, kontrolować optymalizacji DFA, ustawić przestrzeń nazw dla określonego profilu, należy uruchomić w ciszy Tryb bez wysyłania ostrzeżeń, zrzucić informacje wewnętrznego debugowania i AppArmor pre-przetworzonych profiles.Is AppArmor zgodny z moim Linuksie? AppArmor jest obecnie zawarte w Arch Linux, Annvix, Debian GNU / Linux, Ubuntu, openSUSE, Pardus Linux, Gentoo, systemy operacyjne PLD i Mandriva. Obsługuje zarówno 32-bitowych i 64-bitowych platform sprzętowych, a będzie to najprawdopodobniej uruchomić na wielu innych dystrybucjach Linuksa opartych na wyżej wymienionych systemów operacyjnych.

Co nowego w tym zwolnić:

• Polityka Compiler (aka apparmor_parser):
• Fix nieprawidłowe zestawienie modyfikatorów audytu dla exec i pivot_root (PR # 1431717, PR # 1432045)
• Fix awarii kompilacja zaprzeczyć zasady Link (PR # 1433829)
• organizacja Fix sieci rodzin struktury danych (dzięki Philip Withnall i Simon McVittie)
• Prawidłowe obchodzenie się z wyniku błędu z readdir_r (3)
• awarie Fix kompilacji przy budowaniu z gcc 5.
• Upewnij się, debugowania i raportowanie błędów idzie do stderr
• przypadki Dodano testy i poprawki do testowania infrastruktury.
• Utils:
• Wsparcie dodatkowe Format syslog (lp # 1399027)
• minitools Fix do pracy z wieloma profilami na raz (lp # 1378095)
• aa-unconfined: praca z nazwami profili, które nie zaczynają się od /
• aa-status: nie upaść, gdy punkty montowania zawierać znaków UTF-8 (PR # 1310598, dzięki Alain Benedetti)
• aa-easyprof: dodaj --include grupy kursu polityki opcje --include-dir-Dir-szablony i
• aa-skarżą się: nie wymagają ścisłych nazw dla profili (PR # 1128468)
• Ignoruj ​​niepodłączonych wydarzenia ścieżki, a nie upaść (bnc # 918787)
• Czyszczenie i obsługę profilu preambułę flagi i dodać wsparcie dla zamocowania profilu
• Czyszczenie regułę sieciową pisania
• Fix podwojeniu "- & gt;" pisząc z reguły exec (PR # 1437901)
• Fix awarii podczas czytania "wyślij" i "ślad" zdarzenia (PR # 1243932, lp # 1426651) log
• Rozwiąż problemy obsługi dodatkowych zadań zmiennych
• Crash Fix, gdy zasady są oddzielone ścieżki bez ścieżki zasad.
• Sync utils i parser których pojęcie pliki i katalogi do ignorowania
• Inne drobne poprawki
• Wiele dodane przypadki testowe i ulepszenia do testowania infrastruktury,
• Zasady:
• Aktualizacje następujących profilach ...
• mysqld
• Dovecot (lp # 1296667)
• dnsmasq (bnc # 911001, PR # 1403468, dzięki Cedric Bosdonnat i Cameron Norman)
• Aktualizacje następujących abstrakcji:
• Baza - Pozwól pisze do dziennika Systemd gniazda (PR # 1413232)
• aspell - umożliwić dostęp do katalogu / usr / share / aspell / (dzięki Felix Geyer)
• ssl_certs - Dodaj wsparcie dla / etc / pki (dzięki Gregor Dschung)
• ubuntu_email - Dodaj Geary klienta poczty (dzięki Cameron NORMON)
• ubuntu-pomocników - umożliwiają generowanie czcionek TeXLive (PR # 1010909)
• X - dodaj nową ścieżkę gdm (PR # 1432126)
• mir - nowa abstrakcja (lp # 1422521)
• Dokumentacja:
• Opis reguła sieci Fix i usunąć przestarzałe odniesienia do programu-kawałki w apparmor.d (5)

Co nowego w wersji 2.9.1:

• Poprawki i błędy:
• libapparmor:
• Rejestr fix parsowania dla 3,16 jądra + syslog-ng, który został zapobiegania utils z pracy (PR # 1399027, bnc # 905368)
• umożliwiają ominięcie kompilacji stron podręcznika poprzez opcję konfiguracji
• Parser Zasady:
• parsowanie montowania opcji fixups:
• naprawić nieprawidłowe opcje montowania
• nie kompilacji, jeśli znajdują się nieznane opcje montowania
• Nie traktuj rekurencyjne opcje jak normalnych opcji montażu,
• naprawić błąd literówka

Przypadki,
• testy parsowanie dodać język
• oczyścić niektóre kwestie obsługi drobne deskryptor pliku
• Utils:
• Liczne ulepszenia i poprawki zostały wprowadzone do narzędzi Pythona, w tym ...
• proponujące abstrakcje dla zasad brakuje sieciowych (PR # 1380368)
• nie pytaj dla istniejących sieci (istniejące zasady # 1380367) lp
• poprawa wydajności podczas przetwarzania plików dziennika
• Różne inne poprawki błędów,
• Zasady:
• Aktualizacje następujących profilach ...
• dnsmasq
• nscd
• useradd
• sendmail
• man
• passwd
• Dokumentacja:
• Możliwość dokument załadować profile z katalogu
• Dokumentacja synchronizacja na zasadach mocowanie realizacji parsera
• Tłumaczenia:
• zaktualizowane niemiecki, włoski tłumaczenia

Co nowego w wersji 2.8.3:

• Ta wersja jest przyrostowe poprawę w stosunku do AppArmor 2.8 0,2 zwolnić, koncentrując się na poprawianie błędów w kodzie w przestrzeni użytkownika.

Co nowego w wersji 2.8.2:

• Poprawki błędów:
• Kshitij Gupta naprawiono błąd wyświetlania w aa-aa-logprof, genprof, z Glob i Glob z Ext umieszczenie zduplikowanych wpisów na liście. Poprawka wprowadziła Perl 5.10.1 lub wyższej zależność.
• Gernot Vormayr naprawiono potencjalny null zapis w aa_getprocattr (się) Błąd
• Michael Palimaka stałe hu tłumaczenia
• Fix niepowodzeń pliku cache, gdy funkcja jest większy niż wewnętrzny bufor
• Fix lokalizacja apparmor_parser cache tempfile do stosowania przeszedł arg
• Usprawnienia:
• Dmitrijs Ledkovs stałe skonfigurować do korzystania python-config, jeśli istnieje,
• Dmitrijs Ledkovs pod warunkiem zmiany kompatybilności python3
• Znajomi referencyjny:
• Intrigeri przewidziane abstrakcje / czcionki ulepszenia
• Felix Geyer dodał Dolphin (domyślnie Kubuntu menedżera plików) do listy menedżerów plików w abstrakcji / ubuntu-browsers.d / ubuntu-integracji.
• Przenieś cMaps Poppler jest z gnome do czcionek; gnome zawiera czcionki
• Deny pisze do nowobogackich sesji użytkownika pracy w abstrakcji / prywatne-files
• Deny @ {HOME} /. Gnome2 / breloki / ** do abstrakcji / private-files-ścisłe
• Dodaj odczytu do @ {PROC} / sys / vm / overcommit_memory do abstrakcji / baza
• Aktualizacja katalogów i plików cookies PulseAudio ścieżki
• Dodaj brak uprawnienia do nscd profil.
• Deny wydolności block_suspend do nscd
• MariaDB kompatybilności w abstrakcji / mysql

Co nowego w wersji 2.8.1:

• Ta wersja jest przyrostowe poprawę w stosunku do AppArmor 2.8 0,0 zwolnić, koncentrując się na poprawianie błędów w kodzie w przestrzeni użytkownika.

Co nowego w wersji 2.6.1:

• Poprawki i błędy:
• Moduł AppArmor apache2 (mod_apparmor):
• Fix czas budowy łącząc problem, który uniemożliwiał mod_apparmor z pracy (LP: # 737074)
• AppArmor Parser:
• Zezwalaj parsera określić protokół sieciowy, poprzez ustalenie zestawu przefiltrowaną się w czasie kompilacji (PR: # 732837)
• parser Fix sprawdzić swój znacznik czasu przed buforowanych profili, aby upewnić się, że na modernizacje parsera, bufory się regenerować (PR: # 731184)
• Fix profil dopasowanie, gdy nazwa attachement nie zawiera regex wzór (np profil chrom-browser / usr / lib / chrom-browser / chrom-browser) (PR: # 731155)
• Dodaj obejście dla starszych jąder, które nie właściwie odfiltrować nowszych protokołów sieciowych poza AF_MAX (LP: # 727478)
• rc.apparmor.functions Fix złamania (PR: # 735429)
• profile AppArmor:
• Drobne fixups do profili
• Fix ", aby sprawdzić" celem testu na pokrycie profili w dodatki, zgodnie z przeznaczeniem,
• testy regresji AppArmor:
• Rozwiąż prosty test tcp i ponownie włączyć domyślnie

Co nowego w wersji 2.6.0:

• AppArmor Parser:
• dodać wsparcie dla nazw profilu, które są niezależne od specyfikacji mocowania
• szybsze opracowanie polityki, przy mniejszym użyciu pamięci peak
• dodać bezpieczne słowa kluczowego przejścia exec
• wiodącym x uprawnienia zgodne z X z uprawnieniami spływu

Flagi
• Nowa polityka informacyjna kompilacja zrzutu
• write_cache nie jest uprzywilejowanym pracy (uprawnienia DAC nadal obowiązują)
• Wykorzystanie czasu pliku cache, aby ustalić, czy jest przestarzały od obciążenia
• naprawić DFA wykres dumpingu
• dodanie opcji -o politykę wywalić skompilowany do pliku
• przywrócić -p (Preprocesuj)
• naprawić dwa x (wykonywać) błędy konflikt przejścia (LP: # 693082) i dodać testami
• umożliwić skryptów startowych do pracy z jądrem upstream brakuje poprawki kompatybilności
• pominąć podczas budowania testy pamięci podręcznej, gdy securityfs nie jest zamontowany,
• wyrwać tworzenia obiektów, tak aby dystrybutorzy, które nie chcą pełną dokumentację można wybrać cele, które chcą,
• AppArmor Utils (aa-genprof / aa-logprof):
• ujednolicić wszystkie utils za pomocą & quot; AA- & quot; prefix
• dodaj aa-wyłącz, aby wyłączyć narzędzie profile
• zaktualizowane apparmor.vim dokładniej analizować aktualną składni języka polityki,
• streszczenie z lokalizacji dostawcy Perl dystrybucji zastąpić w razie potrzeby w czasie instalacji,
• fix, aby ustawić tryb na podprofile narzekać (LP: # 707092)
• inne drobne poprawki
• AppArmor Library (libapparmor):
• dodać obsługę nowych wiadomości auditd sformatowana.
• make change_hatv (), change_hat_varargs () dostępne za pośrednictwem interfejsów łyk
• Wiązania fix python swig być funkcjonalne
• uwolnienia AppArmor szerokie zmiany:
• Nowy / zaktualizowany testy regresji,
• nowe i zaktualizowane abstrakcje profilu
• nowe i zaktualizowane profile referencyjne
• odświeżone łatki dla jądra Kompatybilność najnowsze wersje jądra
• zaktualizowana dokumentacja i tłumaczenia plików
• Fix się kocur budować
• dokonać konfiguracji pracy docelowej niezależnie
• wymienić subdomenę z AppArmor w większości przypadków
• budowa, kod, a komentarz porządki

Co nowego w wersji 2.5.1:

• poprawki błędów i ulepszenia:
• profile AppArmor:
• (PR: # 611248) Fix gnome abstrakcji dla ładowarek gdk pixbuf
• (PR: # 538661) Ustaw ścieżkę dla PHP5 cgi abstrakcji
• Dodaj "K" do /var/lib/samba/**.tdb w abstrakcji samba
• abstrakcje / tmp użytkownika: wymagają "właściciel" dopasowanie
• Profile / apparmor.d / abstrakcje / podstawa: statvfs domyślnie dozwolone
• Dodaj dbus-session abstrakcję (i używać zamiast Uix Pix)
• AppArmor Parser:
• (PR: # 599450). Zmień zmianę rozmiaru stołu tak, że nie zawsze jest wystarczające wysokie pozycje w tabeli, zapobiegania występowaniu naruszenia granic
• (PR: # 626984). Zapobieganie awariom parser, gdy biegną przeciwko 02.06.36 upstream wersji AppArmor, która nie przedstawia informacji parser oczekuje
• Przenieś oznakowania węzła do węzła drzewa wyrażenie siebie expr aby zmniejszyć zużycie pamięci i zrobić oznakowanie węzła za DFA, a nie globalny.
• Clean up zestawy firstpos, lastpos i followpos wcześnie, aby zmniejszyć zużycie pamięci szczytowego.
• Dodaj zdolność do apparmor_parser zrzucić profile spłaszczone. Podjęcie -p flagę do apparmor_parser powoduje, że zrzuca spłaszczony profil, który zawiera cały tekst dla wszystkich, zawiera standardowe wyjście.
• wyciek pamięci Fix podczas dfa minimalizacji.
• (PR: # 588012). Fix wyciek deskryptorów plików na dołączonych plików
• (PR: # 588014). Numer raportu poprawna nazwa pliku / linia na błędy w składni
• Detect, gdy abstrakcje zostały zmodyfikowane i utratę pamięci podręcznej, gdy plik profil przeładunkowych.
• składanka Fix / zbudować ostrzeżenia.
• AppArmor Library (libapparmor):
• Fix perl haust powiązania tak, że libapparmor można budować, gdy skonfigurowane bez perl.
• Dodaj wsparcie dla wiadomości w formacie LSM_AUDIT
• Wsparcie Aktualizacja dla drobnych zmian, które nastąpiły wiadomości w ramach wysiłku upstreaming
• AppArmor Pulpit Notifier (apparmor_notify):
• wyciek pamięci Fix
• (PR: # 582075) apparmor_notify grupy jak wpisów wraz z przy użyciu -v -s
• Ustawienie domyślne w notify.conf teraz do na (apparmor_notify zwykle nie jest instalowany domyślnie),
• Dodaj długie opcje
• Wyjście Oczyszczanie
• Lepszy uchwyt auditd
• obrotu klamki pliku dziennika
• Użyj seteuid () na usunięcie uprawnień, dzięki czemu możemy podnosić / spadek po rotacji pliku dziennika. Dodaj opcję USER -u do usunięcia przywilejów, jeśli nie używasz sudo
• Strona Aktualizacja człowiek
• AppArmor Utils (genprof / logprof):
• (PR: # 623467) SubDomain.pm: dodać wsparcie dla odrębnego zgłoszonego skracania, rename_src, rename_dest i mkdir operacje
• AppArmor PAM Library (pam_apparmor):
• (PR: # 619521). Naucz pam_apparmor o aktualnym errno zwróconego przez jądro, gdy kapelusz, który został przekazany nie istnieje w profilu (ale istnieją inne kapelusze)