AppArmor

AppArmor è un open source e potente software a riga di comando scritto in C, C ++, Perl, shell UNIX e progettato per fornire un ulteriore livello di sicurezza per il sistema operativo Linux. Come suggerisce il nome, AppArmor è come una corazza per le applicazioni Linux, che offre Network Security applicazione attraverso il controllo di accesso necessarie per le applicazioni. E 'progettato per proteggere il sistema da malware vari.
AppArmor è uno strumento da riga di comando che è stato progettato dalla compensazione per essere facile da usare ed efficace, mentre in modo proattivo protegge l'intero sistema operativo basato su Linux e open source di applicazioni da varie minacce. Molte moderne distribuzioni GNU / Linux includono il software AppArmor dalle opzioni default.What sono disponibili dalla riga di comando di & lsquo;? Apparmor & rsquo; comando include una vasta gamma di opzioni, come la possibilità di aggiungere, sostituire o rimuovere definizioni di AppArmor, forzare il profilo in modalità lamentarsi, impostare l'ingresso come profilo, discarica compilato profili pre-compilati e nomi di profili per stdout o in ingresso, scrivere l'output di un file specifico, impostare la directory di base e cwd, nonché per impostare la posizione del filesystem AppArmor.
Inoltre, fornisce il supporto per i profili di mappatura e rsquo; leggere le autorizzazioni per mr, cache report perdere e ha colpito i dettagli, salvare i profili memorizzati nella cache, impostare il percorso della cache del profilo, nomi profilo mostra come vengono caricate, le definizioni di debug AppArmor, controllare ottimizzazioni DFA, impostare Namespace per un determinato profilo, eseguire in tranquillità Modalità senza emettere avvertimenti, discarica informazioni interne per il debug e AppArmor pre-trattati profiles.Is AppArmor compatibile con la mia macchina Linux? AppArmor è attualmente incluso nel Arch Linux, Annvix, Debian GNU / Linux, Ubuntu, openSUSE, Pardus Linux, Gentoo, i sistemi operativi PLD e Mandriva. Supporta sia le piattaforme hardware a 32-bit e 64-bit, e sarà probabilmente eseguito su molte altre distribuzioni Linux basate sui sistemi operativi di cui sopra.

Cosa c'è di nuovo in questo rilascio:

• Politica Compiler (aka apparmor_parser):
• Correzione errata compilazione dei modificatori di controllo per exec e pivot_root (lp # 1.431.717, lp # 1.432.045)
• Fix fallimento compilazione delle regole di negazione di collegamento (LP # 1.433.829)
• organizzazione Fix della rete di famiglie struttura dati (grazie a Philip Withnall e Simon McVittie)
• La corretta gestione delle risultato di errore da readdir_r (3)
• fallimenti Fix compilazione quando si costruisce con gcc 5.
• Assicurare il debug e la segnalazione degli errori va a stderr
• casi di test Aggiunto e miglioramenti a testare le infrastrutture.
• Utils:
• Supporto formato syslog aggiuntivo (lp # 1.399.027)
• Minitools Fix per lavorare con più profili contemporaneamente (lp # 1.378.095)
• aa-non confinato: lavorare con nomi di profilo che non iniziano con /
• aa-stato: non bloccarsi quando mountpoints contengono caratteri UTF-8 (lp # 1.310.598, grazie a Alain BENEDETTI)
• aa-easyprof: aggiungere --include-modelli-dir e --include-politici-gruppi-dir opzioni
• aa-lamentarsi: non richiedono nomi severe per i profili (lp # 1.128.468)
• Ignora eventi sentiero sconnesso, piuttosto che schiantarsi (BNC # 918.787)
• Ripulire il profilo preambolo e la manipolazione di bandiera e aggiungere il supporto per profilo di aggancio
• Ripulire regola di rete scrittura
• Fix raddoppiato '- & gt;' quando si scrive le regole di exec (lp # 1.437.901)
• Fix crash durante la lettura 'invia' e 'traccia' eventi (lp # 1.243.932, lp # 1.426.651) log
• Fix problemi manipolazione assegnazioni di variabili aggiuntive
• schianto Fix quando le regole di percorso sono separati da regole non-path.
• Sincronizza i utils e il parser nozione di quali file e le directory da ignorare
• Altri miglioramenti minori
• Numerosi casi di test aggiuntivi e miglioramenti per testare l'infrastruttura
• Politica:
• Gli aggiornamenti per i seguenti profili ...
• mysqld
• colombaia (lp # 1.296.667)
• dnsmasq (BNC # 911001, lp # 1.403.468, grazie a Cedric Bosdonnat e Cameron Norman)
• Aggiornamenti alle seguenti astrazioni:
• Base - Lasciare scrive alla presa rivista systemd (lp # 1.413.232)
• aspell - consentire l'accesso a / usr / share / aspell / (grazie a Felix Geyer)
• ssl_certs - aggiungere il supporto per / etc / pki (grazie a Gregor Dschung)
• ubuntu_email - Aggiungi client di posta elettronica Geary (grazie a Cameron Normon)
• ubuntu-aiutanti - permettono la generazione di font texlive (lp # 1.010.909)
• X - aggiungere nuovo percorso gdm (lp # 1.432.126)
• mir - nuova astrazione (lp # 1.422.521)
• Documentazione:
• Descrizione regola di rete fisso e rimuovere i riferimenti obsoleti ai programmi-blocchi a apparmor.d (5)

Cosa c'è di nuovo nella versione 2.9.1:

• I miglioramenti e bug corretti:
• libapparmor:
• Registro fix analisi per 3,16 kernel + syslog-ng, che impediva utils da lavoro (lp # 1.399.027, bnc # 905.368)
• consentire salto di generazione di pagine di manuale con opzione di configurazione
• Politica Parser:
• l'analisi di correzioni opzione mount:
• fix errato opzioni di montaggio
• fallire compilazione se si trovano le opzioni mount sconosciuti
• non trattano ricorsiva mount opzioni come le opzioni abituali
• di correzione di errore errore di battitura

Casi
• prova parsing aggiungere lingua
• ripulire alcuni problemi di gestione file descriptor minore
• Utils:
• miglioramenti e correzioni di bug Numerosi sono stati fatti agli strumenti di pitone, tra cui ...
• astrazioni proponendo per le regole di rete mancante (lp # 1.380.368)
• non chiedere (lp # 1.380.367)
regole di rete esistenti esistente
• miglioramenti delle prestazioni durante l'analisi dei file di log
• altre correzioni di bug vari
• Politica:
• Gli aggiornamenti per i seguenti profili ...
• dnsmasq
• nscd
• useradd
• sendmail
• man
• passwd
• Documentazione:
• capacità documento di caricare i profili da una directory
• Documentazione sync sulle regole di montaggio con l'attuazione del parser
• Traduzioni:
• aggiornati tedesco, traduzioni in italiano

Cosa c'è di nuovo nella versione 2.8.3:

• Questa versione è un miglioramento incrementale sul AppArmor 2.8 .2 rilascio, concentrandosi su correggere i bug nel codice userspace.

Cosa c'è di nuovo nella versione 2.8.2:

• Correzioni di bug:
• Kshitij Gupta corretto un bug di visualizzazione in aa-logprof, aa-genprof, con la Glob e Glob con Ext mettendo voci duplicate nell'elenco. La correzione ha introdotto un Perl 5.10.1 o superiore di dipendenza.
• Gernot Vormayr fissato un potenziale NULL-scrittura a aa_getprocattr () percorso di errore
• Michael Palimaka fissato hu traduzioni
• Fix per i fallimenti della cache quando il file funzione è più grande di buffer interno
• Fix posizione della cache apparmor_parser filetemp a usare passato arg
• Miglioramenti:
• Dmitrijs Ledkovs configure fisso da usare python-config se esiste
• Dmitrijs Ledkovs fornito python3 modifiche compability
• Aggiornamenti Riferimento Profilo:
• Intrigeri disponibile astrazioni / font miglioramenti
• Felix Geyer aggiunto Dolphin (gestore predefinito di file Kubuntu) all'elenco dei file manager in astrazioni / ubuntu-browsers.d / ubuntu-integrazione.
• Sposta CMAPs di Poppler da gnomo a caratteri; gnome include font
• Nega scritture upstart lavori sessioni utente in astrazioni / private-files
• Nega @ {HOME} /. Gnome2 / portachiavi / ** ad astrazioni / private-files-severe
• Aggiungi l'accesso in lettura a @ {PROC} / sys / vm / overcommit_memory ad astrazioni / base
• percorsi di directory Aggiornamento pulseaudio e file cookie
• Inserisci le autorizzazioni al profilo nscd mancante.
• Nega capacità block_suspend a nscd
• MariaDB compatibilità in astrazioni / mysql

Cosa c'è di nuovo nella versione 2.8.1:

• Questa versione è un miglioramento incrementale sul AppArmor 2.8 .0 rilascio, concentrandosi su correggere i bug nel codice userspace.

Cosa c'è di nuovo nella versione 2.6.1:

• I miglioramenti e bug corretti:
• modulo AppArmor apache2 (mod_apparmor):
• Fissare tempi di costruzione che collega problema che impediva mod_apparmor di lavorare (LP: # 737074)
• AppArmor Parser:
• Lasciare che il parser per specificare più protocolli di rete fissando il set filtrato al momento della compilazione (LP: # 732837)
• Fix parser per verificare il proprio timestamp contro profili memorizzati nella cache, per assicurare che sugli aggiornamenti parser, le cache vengono rigenerati (LP: # 731184)
• Fix profilo corrispondente quando un nome attachement non contiene un modello di espressione regolare (ad esempio, il profilo di cromo-browser / usr / lib / chromium-browser / chromium-browser) (LP: # 731155)
• Aggiungi soluzione per vecchi kernel che non filtrano adeguatamente i protocolli di rete più recenti oltre AF_MAX (LP: # 727478)
• rc.apparmor.functions Fix rottura (LP: # 735429)
• Profili di AppArmor:
• correzioni minori ai profili
• Fix 'make check' bersaglio di prova per coprire i profili in extra come previsto
• test di regressione AppArmor:
• Fissare semplice test tcp e riattivare in modo predefinito

Cosa c'è di nuovo nella versione 2.6.0:

• AppArmor Parser:
• aggiungere il supporto per nomi di profilo che sono indipendenti di specifiche attaccamento
• compilazione più veloce della politica, con minor utilizzo di memoria di picco
• aggiungere una parola chiave sicura transizione exec
• rendono leader x autorizzazioni compatibili con trailing x permessi

Bandiere
• nuova politica dell'informazione compilation di dump
• write_cache non è un'operazione privilegiata (permessi DAC sono ancora validi)
• timestamp di file utilizzato per determinare se la cache è stantio in carico
• fissare grafico dfa scarico
• aggiungere -o opzione per scaricare la politica compilato in un file
• reintrodurre -p (pre-elaborazione) flag
• risolvere due x (esecuzione) bug di conflitto di transizione (LP: # 693082) e aggiungere testcases
• consentire initscripts di lavorare con kernel upstream che manca patch di compatibilità
• salta i test di cache durante la generazione quando securityfs non è montato
• scoppiare obiettivi make in modo che i distributori che non vogliono una documentazione completa in grado di scegliere gli obiettivi che vogliono
• AppArmor Utils (aa-genprof / aa-logprof):
• standardizzare su tutto utils con il & quot; AA- & quot; prefix
• aggiungere aa-disable, un programma di utilità per disabilitare i profili
• apparmor.vim aggiornato per analizzare più accuratamente sintassi del linguaggio attuale politica
• astratto la posizione fornitore perl per distribuzioni di ignorare, se necessario, al momento dell'installazione
• fix per impostare la modalità su sottoprofili lamentarsi (LP: # 707092)
• altre correzioni di bug minori
• AppArmor Library (libapparmor):
• aggiungere il supporto per nuovi auditd messaggi formattati.
• fare change_hatv (), change_hat_varargs () disponibili tramite interfacce sorso
• binding python correzione SWIG per essere funzionale
• modifiche a livello di rilascio AppArmor:
• nuovi test di regressione / aggiornati
• nuovi e aggiornati astrazioni profilo
• nuovi e aggiornati profili di riferimento
• patch rinfrescato compatibilità del kernel per le versioni più recenti del kernel

File
• documentazione aggiornata e traduzione
• Fissare su Tomcat costruire
• make impostazione lavoro bersaglio indipendentemente
• sostituire sottodominio e AppArmor nella maggior parte dei casi
• costruire, codice, e di commento ripuliture

Cosa c'è di nuovo nella versione 2.5.1:

• Correzioni di bug e miglioramenti:
• Profili di AppArmor:
• (LP: # 611248) Fissare gnome astrazione per caricatori gdk pixbuf
• (LP: # 538661) Regolare percorso cgi per php5 astrazione
• Aggiungi 'k' a /var/lib/samba/**.tdb nell'astrazione samba
• astrazioni / user-tmp: require 'proprietario' corrispondenza
• profili / apparmor.d / astrazioni / base: statvfs permessi di default
• Aggiungi dbus-session astrazione (e utilizzare Pix anziché UIX)
• AppArmor Parser:
• (LP: # 599450). Modificare il ridimensionamento tabella in modo che ci sia sempre voci alte sufficienti nella tabella, impedendo bounds violazioni che si verificano
• (LP: # 626984). Evitare che il parser da crash quando esegue 2.6.36 versione upstream di AppArmor, che non presenta informazioni parser si aspetta
• Sposta espressione etichettatura nodo della struttura in nodo expr se stessi per ridurre l'utilizzo della memoria e rendere l'etichettatura nodo per dfa piuttosto che globale.
• Eliminare i set firstpos, lastpos e followpos presto per ridurre l'utilizzo della memoria di picco.
• Inserisci la possibilità per il apparmor_parser di discarica profili appiattite. Passando l'opzione -p alla apparmor_parser induce a discarica un profilo appiattito che include tutto il testo per tutti comprende stdout.
• perdita di memoria Fix durante minimizzazione dfa.
• (LP: # 588012). Fissare perdite descrittori di file su file inclusi
• (LP: # 588014). Numero del rapporto corretto nome del file / linea in caso di errori nel parser
• Rileva quando astrazioni sono state modificate, e invalidano file del profilo di cache quando ricarico.
• Fix compilazione / costruire avvisi.
• AppArmor Library (libapparmor):
• Fix perl sorso legature in modo che libapparmor può essere costruito quando configurato senza perl.
• Aggiungi supporto per i messaggi in formato LSM_AUDIT
• Supporto Aggiornamento per le modifiche minori dei messaggi che si sono verificati come parte dello sforzo upstreaming
• AppArmor Desktop Notifier (apparmor_notify):
• perdita di memoria Fix
• (LP: # 582075) gruppo apparmor_notify come voci insieme quando si utilizza -v con -s
• Impostazione in notify.conf ora di default su (apparmor_notify di solito non è installato per impostazione predefinita)
• Aggiungi opzioni lunghe
• uscita Cleanup
• Better maniglia auditd
• rotazione della maniglia file di registro
• Usa seteuid () per abbandonare i privilegi in modo da poter raccogliere / drop dopo la rotazione del file di registro. Aggiunta l'opzione UTENTE -u per far cadere i privilegi quando non si utilizza sudo
• Aggiornamento pagina man
• AppArmor Utils (genprof / logprof):
• (LP: # 623467) SubDomain.pm: aggiungere il supporto per distinte troncare riportato, rename_src, rename_dest, e mkdir operazioni
• AppArmor PAM Library (pam_apparmor):
• (LP: # 619521). Insegnare pam_apparmor sulla errno corrente restituito dal kernel quando il cappello che è stato passato non esiste nel profilo (ma esistono altri cappelli)