AppArmor

AppArmor의 오픈 소스와 C, C ++, 펄, UNIX 쉘 작성 및 Linux 운영 체제에 대한 추가 보안 층을 제공하도록 설계 강력한 명령 줄 소프트웨어입니다. 이름에서 알 수 있듯이, AppArmor의 당신이 애플 리케이션을위한 필요한 액세스 제어를 통해 애플리케이션 보안 네트워크 제공, 당신의 리눅스 애플리케이션을위한 갑옷과 같다. 그것은 각종 악성 코드로부터 시스템을 보호하기 위해 설계되었습니다.
AppArmor의 사전에 다양한 위협으로부터 전체 리눅스 기반의 운영 체제와 오픈 소스 응용 프로그램을 보호하면서, 사용하기 쉽고 효과가 오프셋에서 설계되었습니다 명령 줄 도구입니다. ? AppArmor의 했음, 현대의 많은 GNU / 리눅스 배포판 default.What 옵션으로 AppArmor의 소프트웨어가 명령 줄 & lsquo에서 사용할 수있는 포함한다; 명령은 표준 출력 또는 입력에 미리 컴파일 된 프로필, 덤프 컴파일 된 프로파일 및 프로파일의 이름과 입력을 설정, 등, 추가, 교체 또는 AppArmor의 정의를 제거, 불평 모드로 프로필을 강제 할 수있는 기능 등의 옵션의 넓은 범위를 포함 베이스 디렉토리 CWD를 설정할뿐만 아니라 AppArmor의 파일 시스템의 위치를​​ 설정하기 위해, 특정 파일에 출력 물품.
또한,이 매핑​​ 정보 했음에 대한 지원을 제공한다; 그들이로드로 씨, 보고서 캐시 미스 권한을 읽고 세부 사항을 명중, 캐시 프로필을 저장, 프로필 캐시의 위치를​​ 설정, 디스플레이 프로필 이름은 디버그 AppArmor의 정의는, DFA 최적화를 제어, 조용한 실행, 특정 프로필에 대해 네임 스페이스를 설정 경고를 출력하지 않고 모드, 내 리눅스와 호환 디버깅 및 AppArmor의 사전 처리 profiles.Is AppArmor의 내부 정보를 덤프? AppArmor의 현재 아치 리눅스, Annvix, 데비안 GNU / 리눅스, 우분투, 오픈 수세, 속 Pardus 리눅스, 젠투에 포함되어 있습니다, PLD 및 맨드리바 운영 체제. 그것은 32 비트 및 64 비트 하드웨어 플랫폼을 지원하며, 대부분의 아마 상기의 OS를 기반으로 리눅스의 많은 다른 배포판에서 실행됩니다

이 릴리스의 새로운 기능 :.

< P> (일명 apparmor_parser) 정책 컴파일러 :
임원 및 pivot_root이에 대한 감사 수정의 잘못된 편집 (LP 번호 1431717, LP # 1432045)를 수정
링크 규칙을 거부 컴파일 실패 (LP 번호 1433829)를 수정
네트워크 제품군 데이터 구조의 수정 조직 (필립 Withnall 시몬 McVittie 덕분에)
readdir_r에서 오류 결과의 올바른 처리 (3)
GCC 5 만들 때 컴파일 오류를 수정합니다.
디버깅 및 오류보고가 stderr로 이동 확인
추가 된 테스트 케이스 및 개선 인프라를 테스트합니다.
의 Utils :
지원 추가 시스템 로그 형식 (LP 번호 1399027)
한 번에 여러 프로파일 작업을 minitools 수정 (LP # 1378095)
AA-일축 :로 시작하지 않는 프로파일 이름과 작업 /
AA-상태 : 마운트 포인트는 (알랭 BENEDETTI에 LP 번호 1310598, 감사) UTF-8 문자가 포함되어있는 경우 충돌하지 않습니다
AA-easyprof : --include 템플릿-DIR 및 --include-정책 그룹-DIR 옵션을 추가
AA-불평 : 프로필에 대한 엄격한 이름 (LP 번호 1,128,468)를 필요로하지 않는다
오히려 충돌보다 연결이 끊긴 경로 이벤트를 무시 (BNC # 918787)
프로필 프리앰블 플래그 처리를 정리 및 프로필 첨부 파일에 대한 지원을 추가
네트워크 규칙 쓰기를 정리
수정은 두 배 '-한다' 간부 규칙을 작성 (LP 번호 1437901)
'보내기'읽기 '추적'이벤트 (LP 번호 1243932, LP # 1426651)를 로그인 할 때 충돌 수정
추가 변수 할당을 처리하는 문제를 해결
경로 규칙이 아닌 경로 규칙에 의해 분리 될 때 충돌을 수정합니다.
UTILS 파일 및 디렉토리를 무시하는있는 파서의 개념을 동기화
기타 사소한 개선
수많은 추가 테스트 케이스 및 인프라를 테스트 개선
정책 :
다음 프로파일 업데이트 ...
mysqld를
비둘기장 (LP 번호 1296667)
하는 dnsmasq (# 911001 BNC, # 1403468, 세드릭 Bosdonnat 카메론 노먼 덕분에 LP)
다음 추상화에 대한 업데이트 :
베이스 - 허용은 systemd 저널 소켓에 기록 (LP 번호 1413232)
Aspell을이 -는 / usr / share / Aspell을가 / (펠릭스 게 이어 덕분에)에 대한 액세스를 허용
ssl_certs는 - 지원을 추가 / 등 / PKI에 대한 (그레고르 Dschung 덕분에)
ubuntu_email - (카메론 Normon 덕분에) 기어 리 이메일 클라이언트 추가
우분투 - 헬퍼 - texlive 글꼴의 생성을 허용 (LP 번호 1010909)
X - 새로운 GDM 경로를 추가 (LP 번호 1432126)
미르 - 새​​로운 추상화 (LP 번호 1422521)
문서 :
(5) 네트워크 규칙 설명을 수정하고 apparmor.d에서 프로그램 덩어리에 사용되지 않는 참조를 제거

버전 2.9.1의 새로운 기능 :

이 개선 및 버그 수정 :
libapparmor :
작동 utils를 방지 한 것, 3.16 커널 +의 syslog-ng에 대한 분석 로그 수정 (LP 번호 1399027을 # 905368 BNC)
구성 옵션을 통해 매뉴얼 페이지의 빌드를 생략 할 수
정책 파서 :
마운트 옵션 픽스 업의 구문 분석 :
잘못된 마운트 옵션을 수정
알 수없는 마운트 옵션이 발견 될 경우 컴파일 실패
일반 옵션으로 재귀 마운트 옵션을 취급하지 않습니다
수정 오류 오타
언어 구문 분석 테스트 케이스를 추가
약간의 파일 기술자 처리 문제를 정리
의 Utils :
많은 개선 및 버그 수정을 포함, 파이썬 도구로 만들어졌다 ...
누락 된 네트워크 규칙에 대한 추상화를 제안 (LP 번호 1380368)
기존의 네트워크 규칙을 (LP 번호 1380367)을 기존 요구하지 않는다
성능 개선 로그 파일을 파싱
다른 기타 버그 수정
정책 :
다음 프로파일 업데이트 ...
하는 dnsmasq
nscd를
useradd를
센드 메일
사람
passwd에
문서 :
디렉토리에서 프로파일을로드 할 수있는 능력을 문서화
마운트 동기화 문서는 파서의 구현과 규칙
번역 :
업데이트 독일어, 이탈리아어로 번역

2.8.3 버전의 새로운 기능 :

이 릴리스는 사용자 공간 코드에 고정 버그에 초점을 맞추고, AppArmor의 2.8.2 버전을 통해 점진적 개선이다.

버그 수정 :

2.8.2 버전의 새로운 기능 :
Kshitij 굽타는 내선 목록에서 중복 된 항목을 가하고와 글롭과 글롭으로, AA-logprof, AA-genprof의 표시 버그가 수정되었습니다. 수정 펄 5.10.1 이상 의존성을 소개했다.
Gernot Vormayr은 aa_getprocattr () 오류 경로에 잠재적 인 NULL 쓰기를 고정
마이클 Palimaka은 후진타오 번역 수정
기능 파일 내부 버퍼보다​​ 클 때 캐시 실패 정하는
전달 된 인수를 사용하는 apparmor_parser 캐시 임시 파일 위치를 수정
개선 :
존재하는 경우 드미트리 Ledkovs 파이썬 - 설정을 사용하도록 구성 고정
드미트리 Ledkovs 제공 python3의 Compability가 변경
프로필 업데이트를 참조 :
Intrigeri는 추상화 / 글꼴 향상을 제공
펠릭스 게 이어는 / 추상화의 파일 관리자 목록에 우분투 - browsers.d / 우분투 통합을 돌고래 (기본 쿠분투 파일 관리자)를 추가했다.
글꼴 그놈에서 poppler의 cMaps 이동; 그놈 글꼴을 포함
추상화의 신출내기 사용자 세션 작업 / 개인 파일에 쓰기를 거부
/. GNOME2 / 열쇠 고리 / ** 추상화에 / 민간 파일 - 엄격한 @ {HOME}을 거부
추상화에 @ {PROC} / SYS / VM / overcommit_memory에 대한 읽기 액세스를 추가 /베이스
업데이트 펄스 오디오 디렉토리와 쿠키 파일 경로
nscd를 프로필에 누락 된 권한을 추가합니다.
nscd를 할 능력 block_suspend 거부
추상화에 MariaDB 호환성 / MySQL을

2.8.1 버전의 새로운 기능 :

이 릴리스는 사용자 공간 코드에 고정 버그에 초점을 맞추고, AppArmor의 2.8.0 버전을 통해 점진적 개선이다.

버전 2.6.1의 새로운 기능 :

이 개선 및 버그 수정 :
AppArmor의의 아파치 모듈 (mod_apparmor) :
작동 mod_apparmor 방지 문제를 연결하는 시간을 구축 핫픽스 (LP : # 737074)
AppArmor의 파서 :
빌드시 필터링 설정을 고정하여 더 많은 네트워크 프로토콜을 지정 파서 허용 (LP : # 732837)
파서 업그레이드에을 보장하기 위하여, 캐시 된 프로필에 자신의 타임 스탬프를 확인하는 파서를 수정, 캐시가 다시 생성 (LP : # 731184)
첨부 파일 이름이 정규식 패턴 (예를 들어, 프로파일 크롬 브라우저는 / usr / lib 디렉토리 / 크롬 브라우저 / 크롬 브라우저) (: # 731155 LP)를 포함하지 않는 경우 프로필 매칭을 수정
(: # 727478 LP)가 제대로 AF_MAX 넘어 새로운 네트워크 프로토콜을 필터링하지 않은 오래된 커널에 대한 해결 방법을 추가
rc.apparmor.functions 파손 수정 (LP : # 735429)
AppArmor의 프로필 :
프로파일 마이너 픽스 업
의도 한대로 엑스트라의 프로필을 충당하기 위해 테스트 대상 '확인하게'수정
AppArmor의 회귀 테스트 :
단순 TCP 테스트를 수정하고 기본적으로 다시 활성화

버전 2.6.0의 새로운 기능 :

AppArmor의 파서 :
어태치먼트 사양 무관 프로파일 이름에 대한 지원을 추가
적은 피크 메모리 사용과 빠른 정책 편집,
안전한 간부 전이 키워드를 추가
X 권한을 후행 최고의 X 권한 일관성을
새로운 정책 편집 정보 덤프 플래그
write_cache는 (DAC 권한이 여전히 적용) 더 이상 특권이 작동하지 않습니다
캐시가 부하에 오래된 있는지 확인하기 위해 파일의 타임 스탬프를 사용
덤핑 DFA 그래프를 수정
파일로 컴파일 된 정책을 덤프 -o 옵션을 추가
-p 재 도입 (전처리) 플래그
수정이 X 전이 충돌 버그 (LP : # 693082)을 (실행)과을 testcases를 추가
호환성 패치가 누락 업스트림 커널에서 작동하도록 초기화 스크립트를 활성화
securityfs가 장착되지 않은 경우 빌드하는 동안 캐시 검사를 생략
전체 문서를하지 않으려는 유통 업체가 원하는 대상을 선택 할 수 있도록 메이크업 목표를 탈출
AppArmor의의 Utils (AA-genprof / AA-logprof) :
모든 사용 UTILS 표준화 & quot; AA- & quot; 접두사
AA-비활성화를 추가, 유틸리티 프로파일을 사용하지 않으려면
업데이트 apparmor.vim보다 정확하게 현재의 정책 언어 구문을 구문 분석
배포판의 펄 공급 업체 위치 설치시 필요한 경우 무시할에서 추상
subprofiles에 모드를 불평 설정 수정 (LP : # 707092)
기타 사소한 버그 수정
AppArmor의 도서관 (libapparmor) :
새로운은 auditd 형식의 메시지에 대한 지원을 추가합니다.
() 꿀꺽 꿀꺽 인터페이스를 통해 사용할 수 change_hat_varargs ()를 change_hatv을
기능으로 파이썬 꿀꺽 꿀꺽 바인딩을 수정
AppArmor의 넓은 변경을 해제 :
새 / 업데이트 회귀 테스트
새롭게 업데이트 된 프로필 추상화
새롭게 업데이트 된 참조 프로필
커널의 최신 버전에 대한 새로 커널 호환성 패치
업데이트 된 문서 및 번역 파일
구축 바람둥이 최대 수정
독립적으로 설치 대상 작업을
대부분의 경우에 AppArmor의와 하위 도메인을 대체
구축, 코드 및 정리 코멘트

버전 2.5.1의 새로운 기능 :

버그 수정 및 개선 사항 :
AppArmor의 프로필 :
(LP : # 611248) GDK의 pixbuf 로더 그놈 추상화 수정
(LP : # 538661) PHP5 추상화 CGI 경로를 조정
삼바 추상화에 /var/lib/samba/**.tdb하는 'K'를 추가
추상화 / 사용자 TMP : 요구하는 '주인'일치
기본적으로 허용에서 statvfs : 정보 / apparmor.d / 추상화 /베이스
DBUS 세션 추상화를 추가 (그리고 픽스보다는 UIX를 사용)
AppArmor의 파서 :
(LP : # 599450)는 항상 테이블에 충분한 높은 항목이되도록 발생 경계 위반을 방지, 테이블 크기 조정을 변경합니다.
(LP : # 626984) 할 수있는 정보 파서 기대하지 AppArmor의의 2.6.36 업스트림 버전에 대해 실행할 때 충돌에서 파서를 방지합니다.
메모리 사용량을 줄이고 DFA 당이 아니라 글로벌보다 노드 라벨을 만들 EXPR 노드 자체에 식 트리 노드 표시를 이동합니다.
최대 메모리 사용량을 줄이기 위해 초기 세트은 firstpos, lastpos 및 followpos을 청소합니다.
apparmor_parser이 평평 프로파일을 덤프 할 수있는 기능을 추가합니다. apparmor_parser에 -p 플래그를 전달하면이 모든 표준 출력에 포함 모든 텍스트를 포함하는 평평 프로필을 덤프됩니다.
DFA 최소화 동안 메모리 누수를 수정합니다.
(LP : # 588012) 포함 된 파일에 파일 설명을 유출 수정.
(LP : # 588014) 파서의 오류에 대한보고 정확한 파일 이름 / 행 번호.
추상화가 수정되었을 때 감지하고 다시로드 할 때 프로필 캐시 파일을 무효로합니다.
수정 편집 / 경고를 구축 할 수 있습니다.
AppArmor의 도서관 (libapparmor) :
펄없이 구성 할 때 그 libapparmor가 구축 될 수 있도록 펄 꿀꺽 꿀꺽 바인딩을 수정합니다.
LSM_AUDIT 형식 메시지에 대한 지원을 추가
upstreaming 노력의 일환으로 발생한 사소한 메시지 변경 업데이트 지원
AppArmor의 데스크톱 알리미 (apparmor_notify) :
메모리 누수 수정
(LP : # 582075) 항목 등 apparmor_notify 그룹 -s와 -v 사용하여 함께 할 때
(apparmor_notify는 일반적으로 기본적으로 설치되지 않습니다)에 지금 기본값 notify.conf의 설정
긴 옵션 추가
정리 출력
더 나은 핸들은 auditd
로그 파일 회전을 처리
우리가 로그 파일 회전 후 / 드롭을 올릴 수 있도록 권한을 드롭 seteuid로 ()를 사용합니다. sudo를 사용하지 않을 경우 권한을 삭제하기위한 -u 사용자 옵션 추가
업데이트 매뉴얼 페이지
AppArmor의의 Utils (genprof / logprof) :
(LP : # 623467) SubDomain.pm는 : 별개의보고 잘라 내기, rename_src, rename_dest 및 MKDIR 작업에 대한 지원을 추가
AppArmor의 PAM 라이브러리 (pam_apparmor) :
(LP : # 619521) 전달 된 모자 프로필에 존재하지 않는 (그러나 다른 모자​​가 존재) 때 커널에 의해 반환 된 현재의 errno에 대한 pam_apparmor을 가르친다.