タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
Ubuntuではセキュリティ対策の一環としてAppArmorを採用しています。AppArmorを使えば、任意のプログラムに対して、意図しないファイルやデバイスのアクセスを阻害したり、サブプロセスに対するセキュリティ制約をかけたりできます。今回はあまり意識することのないものの、知っておくといつか役に立つかもしれない、実際に役に立つ時はあまり来てほしくないAppArmorについて紹介しましょう。 AppArmorとMACとLSMと 「AppArmor」は「名前ベースの強制アクセス制御で、LSMを用いて実装されている仕組み」と紹介されることがあります。これはどういう意味でしょうか。 まずはAppArmorの特徴となる「名前ベース(もしくはパス名ベース)」についてですが、これは「セキュリティ設定を対象となるファイルパスを元に設定する」ことを意味します。つまりファイルパスごとに、何を許可し何を許可し
関連キーワード Linux | OS | 運用管理 | セキュリティ OS「Linux」は、複数のセキュリティモジュールを組み込んでいる。アクセス制御を実現するための代表的なセキュリティモジュールが「SELinux」(Security-Enhanced Linux)「AppArmor」だ。「Red Hat Enterprise Linux」(RHEL)およびその派生ディストリビューション(配布パッケージ)はSELinuxを、「Debian」およびその派生ディストリビューションはAppArmorを主に標準セキュリティモジュールとして採用している。両者には、それぞれどのような利点と欠点があるのか。 SELinuxの利点と欠点 併せて読みたいお薦め記事 連載:Linuxのセキュリティを比較 前編:Linuxを守る「SELinux」と「AppArmor」は何が違うのか? Linuxの運用管理 いま
Ubuntuではセキュリティ対策の一環としてAppArmorを採用しています。前回の「Ubuntuのセキュリティを支えるAppArmor入門」ではAppArmorの基本的な説明と、UbuntuにおけるAppArmorの設定方法と仕組みを紹介しました。今回はAppArmorのキモであり、普通のユーザーにはあまり縁がないものの、システム管理者にとっては必要になることもある「プロファイル」の作り方について紹介しましょう。 AppArmorのおさらい まずは前回のおさらいをしましょう。「AppArmor」は「名前ベースの強制アクセス制御で、LSMを用いて実装されている仕組み」です。ファイルパスベースで何を許可・拒否するかを設定し、管理者ですら強制的に制限を受ける仕組みをカーネルのLSM機能を用いて実現しています。これにより「rootになればかんたんになんでもできるというわけではない」ようにし、シ
AppArmor - ArchWiki
AppArmor は強制アクセス制御 (MAC) のシステムです。Linux Security Modules (LSM) 上に実装されています。 他の LSM と同じように、AppArmor はデフォルトの任意アクセス制御 (DAC) を置き換えるというよりも補完するものです。そのため、プロセスに最初から持っている権限よりも高い権限を与えることはできません。 Ubuntu や SUSE などのディストリビューションはデフォルトで AppArmor を使用しています。RHEL (とその派生) は正しく機能させるのにユーザー空間における設定が必要になる SELinux を使っています。SELinux は全てのファイル・プロセス・オブジェクトにラベルを貼るため非常に柔軟性があります。しかしながら SELinux の設定は非常に複雑で、ファイルシステムが SELinux に対応していなければなり
Ubuntu Weekly Topics Ubuntuのリアルタイムカーネルの一般提供、Ubuntu 23.04(lunar)の開発 / rsyslogのAppArmorによる制御 リアルタイムカーネルの一般提供 これまでも利用できたUbuntuのリアルタイムカーネルがGA(一般提供開始)しました。ポイントはArm64環境でも利用できること(=車載や組み込み文脈でも利用できる)と、「公式に」サポート対象となったという点です(この機能はかなり以前からUbuntu Advantageには組み込まれていました)。 プレスリリース上ではTelco(5GやLTE向けのNFV)や車載デバイス、産業機械などの「タイムセンシティブな」タイプのワークロードを動かすためのものであると位置づけられています。実装としては以前から存在するリアルタイムカーネルと同じくPREEMPT_RTベースのもので、テクノロ
コンピュータを守るセキュリティの仕組みとして「強制アクセス制御」(Mandatory Access Control)があります。強制アクセス制御では、「パーミッション」などで定められているOSの標準的な制限ではなく、ユーザーや実行プログラムに対してより厳しい制限を設定できます。 例えば、あるプログラムに対して、参照しかしないファイルへの書き込み、利用するはずがないファイルへのアクセス、関係がない別のプログラムの呼び出しを禁止できます(図1)。 このような強制アクセス制御をLinuxで実現できるソフトウエアには、いくつかあります。Ubuntu Serverでは「AppArmor」というソフトウエアが標準で導入されていて、有効になっています。このAppArmorは、Linux OSの核となる「カーネル」のセキュリティフレームワーク「Linux Security Modules」(LSM)を使っ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
第798回 Ubuntuのセキュリティを支えるAppArmor入門 | gihyo.jp
Linuxの「SELinux」と「AppArmor」は結局どちらを選ぶべき?
第799回 UbuntuでAppArmorのプロファイルを作ってみる | gihyo.jp
Ubuntuのリアルタイムカーネルの一般提供、Ubuntu 23.04(lunar)の開発 / rsyslogのAppArmorによる制御 | gihyo.jp
第26回 アクセスを制限する(AppArmor) « shell-mag
www.jprime.jp
zenn.dev/masa5714
kanamoto56.hatenablog.com
newsinfomation.net
alphatheta.com
viewer.heros-web.com