AppArmorとDockerとその他コンテナ的プロセスについて調べた - ローファイ日記ここ数日のAppArmorに関する調査をまとめておく。アドベントカレンダーの季節だけど、特に該当しそうなカレンダーがなかったのでただの記事を書きます... 突っ込みどころはあると思うので、修正指摘等お気軽に。 AppArmor とは AppArmorはMAC(Mandatory Access Control - 強制アクセス制御)を実現するためのミドルウェアの一つ。同じようにMACを実現するものにはSELinuxなどがあるが、AppArmorはシステム全体というよりはプログラム単位で、ファイル別またはプロセスごとにセキュリティプロファイルを紐づけることができる。 そのプロファイルでは: どのファイルにどのようにアクセスできるか/できないか(読み書き実行など) ネットワークやRaw Socketなどへのアクセスができるか 以上についてUNIXのファイル権限やKernel Capability
