AppArmor

AppArmor é uma fonte aberta e software de linha de comando poderoso escrito em C, C ++, Perl, shell UNIX e projetado para fornecer uma camada extra de segurança para seu sistema operacional Linux. Como o próprio nome sugere, o AppArmor é como uma armadura para seus aplicativos do Linux, oferecendo-lhe segurança da rede por meio de aplicação de controle de acesso necessário para apps. Ele é projetado para proteger o seu sistema a partir de vários malware.
AppArmor é uma ferramenta de linha de comando que foi projetado desde o deslocamento para ser fácil de usar e eficaz, enquanto protege proativamente seu sistema operacional baseado em Linux e open source aplicações inteiras de várias ameaças. Muitas distribuições modernas GNU / Linux incluem o software AppArmor por default.What opções estão disponíveis a partir da linha de comando do & lsquo;? Apparmor & rsquo; comando inclui uma ampla gama de opções, tais como a capacidade de adicionar, substituir ou remover definições AppArmor, forçar o perfil para reclamar modo, defina a entrada como perfil, perfis e nomes de perfis pré-compilados despejo compilado para stdout ou na entrada, escrever a saída para um arquivo específico, definir o diretório base e cwd, bem como para definir o local do sistema de arquivos AppArmor.
Além disso, oferece suporte para perfis de mapeamento & rsquo; permissões de leitura para mr, relatório de cache miss e bateu detalhes, salvar perfis em cache, defina a localização do cache do perfil, nomes de perfis de exibição como eles são carregados, as definições de depuração AppArmor, controlar otimizações DFA, defina Namespace para um determinado perfil, execute em zona calma Modo sem emitir advertências, despejar informação interna para depuração e AppArmor pré-processado profiles.Is AppArmor compatível com minha caixa de Linux? AppArmor está actualmente incluído no Arch Linux, Annvix, Debian GNU / Linux, Ubuntu, openSUSE, Pardus Linux, Gentoo, sistemas operacionais PLD e Mandriva. Ele suporta tanto plataformas de hardware de 32 bits e de 64 bits, e muito provavelmente será executado em muitas outras distribuições de Linux, com base nos sistemas operacionais acima mencionados.

O que é novo no presente release:

• Política Compiler (aka apparmor_parser):
• Corrija compilação incorreta de modificadores de auditoria para exec e pivot_root (lp # 1431717, 1432045 # lp)
• falha compilação Fix de regras de negação de link (lp # 1433829)
• Fix organização da rede de famílias de estrutura de dados (graças a Philip Withnall e Simon McVittie)
• O manuseio correto do resultado de erro de readdir_r (3)
• falhas Fix compilação ao construir com gcc 5.
• Certifique-se de depuração e relatórios de erro vai para stderr
• Adicionado casos de teste e melhorias para testar infra-estrutura.
• Utils:
• Suporte formato syslog adicional (lp # 1399027)
• minitools Reparar para trabalhar com vários perfis de uma vez (lp # 1378095)
• Não delimitado-aa: trabalhar com nomes de perfil que não comece com /
• aa-status: não falhar quando mountpoints conter caracteres UTF-8 (lp # 1310598, graças a Alain BENEDETTI)
• aa-easyprof: adicionar --include-templates-dir e --include políticos grupos-dir opções
• aa-reclamar: não necessitam de nomes estritas para perfis (lp # 1128468)
• Ignorar eventos de caminhos desconectados ao invés de bater (BNC # 918.787)
• Limpe preâmbulo perfil e manuseio bandeira e adicionar suporte para fixação do perfil
• Limpe regra de rede escrito
• Fix duplicado '- & gt;' ao escrever as regras exec (lp # 1437901)
• Resolver falhas na leitura 'enviar' e 'traço' eventos (lp # 1243932, 1426651 # lp) log
• Resolver problemas de manipulação de atribuições de variáveis ​​adicionais
• Fix acidente quando regras de caminho são separados por regras não de caminho.
• Sincronizar os utils ea noção analisadores de quais arquivos e diretórios para ignorar
• Outras pequenas melhorias
• Numerosos casos de teste adicionais e melhorias de infra-estrutura para testar
• Política:
• Atualizações para os seguintes perfis ...
• mysqld
• dovecot (lp # 1296667)
• dnsmasq (BNC # 911001, lp # 1403468, graças a Cedric Bosdonnat e Cameron Norman)
• Atualizações para os seguintes abstrações:
• base - Permitir que escreve para o jornal tomada systemd (lp # 1413232)
• aspell - permitir o acesso a / usr / share / aspell / (graças a Felix Geyer)
• ssl_certs - Adicionar suporte para / etc / PKI (graças a Gregor Dschung)
• ubuntu_email - Adicione cliente de email Geary (graças a Cameron Normon)
• ubuntu-ajudantes - permitir a geração de fontes texlive (lp # 1010909)
• X - adicionar novo caminho gdm (lp # 1432126)
• mir - nova abstração (lp # 1422521)
• Documentação:
• descrição da regra de rede Fix e remover referências obsoletas para-programa em pedaços apparmor.d (5)

O que é novo na versão 2.9.1:

• As melhorias e erros corrigidos:
• libapparmor:
• log correção análise para 3,16 kernels + syslog-ng, que estava impedindo utils de trabalhar (lp # 1399027, bnc # 905.368)
• permitem pular de construção de páginas man via opção de configuração
• Política analisador:
• análise de fixups opção de montagem:
• corrigir incorreta opções de montagem
• falha de compilação, se desconhecidos opções de montagem são encontrados
• não tratam recursiva opções de montagem como opções normais
• erro correção erro de digitação

Casos
• teste de análise sintática adicionar idioma
• limpar alguns problemas de manuseio de descritor de arquivo menor
• Utils:
• melhorias e correções de bugs Numerosos foram feitas para as ferramentas do Python, incluindo ...
• abstrações que propõem para as regras de rede DESAPARECIDAS (lp # 1380368)
• não pedir (lp # 1380367)
regras de rede existentes existente
• melhorias de desempenho ao analisar arquivos de log
• outras correções de bugs variado
• Política:
• Atualizações para os seguintes perfis ...
• dnsmasq
• nscd
• useradd
• sendmail
• man
• passwd
• Documentação:
• capacidade documento para carregar perfis a partir de um diretório
• documentação sincronia em regras de montagem com a implementação do analisador
• Traduções:
• atualizado alemão, traduções italianas

O que é novo na versão 2.8.3:

• Esta versão é uma melhoria incremental sobre o AppArmor 2.8 .2 liberar, com foco na correção de bugs no código de espaço do usuário.

O que é novo na versão 2.8.2:

• Correções de bugs:
• Kshitij Gupta reparado um erro de exibição em aa-logprof, aa-genprof, com o Glob Glob e com Ext colocar entradas duplicadas na lista. A correção introduziu um Perl 5.10.1 ou superior dependência.
• Gernot Vormayr fixa um potencial NULL-write em aa_getprocattr () caminho de erro
• Michael Palimaka fixo hu traduções
• Correção para falhas de cache quando o arquivo de recurso é maior do que o buffer interno
• Fix local de cache apparmor_parser tempfile para usar passou arg
• Melhorias:
• Dmitrijs Ledkovs configure fixo para usar python-config se existir
• Dmitrijs Ledkovs fornecida python3 mudanças Compatibilidade
• atualizações do perfil de referência:
• Intrigeri fornecidas abstrações / fontes melhorias
• Felix Geyer acrescentou Dolphin (gerenciador de arquivos padrão do Kubuntu) à lista de gerenciadores de arquivos em abstrações / ubuntu-browsers.d / ubuntu-integração.
• Mover CMAPs de Poppler do gnome para fontes; gnome inclui fontes
• Negar gravações para sessões de usuário iniciantes empregos em abstrações /-arquivos privados
• Negar @ {HOME} /. Gnome2 / chaveiros / ** a abstrações /-arquivos privados-rígidas
• Adicionar acesso de leitura a @ {} PROC / sys / vm / overcommit_memory a abstrações / base
• Atualização pulseaudio caminhos de diretórios e arquivos de cookie
• Adicionar permissões para o perfil nscd faltando.
• Negar capacidade block_suspend para nscd
• compatability MariaDB em abstrações / mysql

O que é novo na versão 2.8.1:

• Esta versão é uma melhoria incremental sobre o AppArmor 2.8 0,0 liberar, com foco na correção de bugs no código de espaço do usuário.

O que é novo na versão 2.6.1:

• As melhorias e erros corrigidos:
• módulo AppArmor apache2 (mod_apparmor):
• Corrija construir tempo ligando problema que impedia mod_apparmor de trabalhar (LP: # 737074)
• AppArmor analisador:
• Deixe o analisador para especificar mais protocolos de rede, fixando o conjunto filtrado para fora em tempo de compilação (LP: # 732837)
• parser Fix para verificar a sua própria timestamp contra perfis em cache, para garantir que em upgrades de analisador, as caches se regenerado (LP: # 731184)
• Fix perfil correspondente quando um nome attachement não contém um padrão de regex (por exemplo, perfil de cromo-browser / usr / lib / cromo-browser / cromo-browser) (LP: # 731155)
• Adicionar solução para kernels mais antigos que não correctamente filtrar protocolos de rede mais recentes além AF_MAX (LP: # 727478)
• rc.apparmor.functions Fix quebra (LP: # 735429)
• Perfis do AppArmor:
• fixups menores ao perfis
• Fix 'make check' alvo de teste para cobrir os perfis em extras como pretendido
• testes de regressão AppArmor:
• Corrija teste tcp simples e reativar por padrão

O que é novo na versão 2.6.0:

• AppArmor analisador:
• adicionar suporte para nomes de perfil que são independentes da especificação anexo
• compilação menor política, com menos uso de memória de pico
• adicionar uma palavra-chave de transição segura exec
• Faça levando x permissões consistentes com finais x permissões

Bandeiras
• nova política de informação compilação de despejo
• write_cache já não é uma operação privilegiada (permissões DAC ainda se aplicam)
• timestamps de arquivo uso para determinar se o cache é obsoleto na carga
• consertar gráfico dfa despejo
• adicionar -o opção para despejar política compilado em um arquivo
• reintroduzir -p (preprocess) flag
• Corrija dois x (executar) erros de conflito de transição (LP: # 693082) e adicionar testcases
• permitir initscripts para trabalhar com kernel upstream que está faltando correções de compatibilidade
• ignorar testes de cache durante a compilação quando securityfs não está montado
• sair alvos make para que os distribuidores que não querem a documentação completa pode escolher os alvos que eles querem
• AppArmor Utils (aa-genprof / aa-logprof):
• padronizar em todos utils usando o & quot; AA- & quot; prefixo
• adicionar aa-disable, um utilitário para desativar perfis
• apparmor.vim atualizada para analisar com mais precisão sintaxe da linguagem política atual
• abstrair a localização do fornecedor perl para distros para substituir, se necessário, no momento da instalação
• correção para definir o modo de subperfis reclamar (LP: # 707092)
• outras pequenas correções de bugs
• AppArmor Library (libapparmor):
• adicionar suporte para mensagens formatadas auditd mais recentes.
• fazer change_hatv (), change_hat_varargs () disponíveis através de interfaces swig
• ligações correção python swig para ser funcional
• Datas AppArmor mudanças amplas:
• testes de regressão novos / atualizados
• novos e atualizados abstrações perfil
• perfis de referência novos e atualizados
• refrescados correções de compatibilidade do kernel para a maioria das versões recentes do kernel

Arquivos
• documentação atualizada e de tradução
• Corrija-se tomcat construir
• fazer uma configuração de trabalho de destino, independentemente
• substituir SubDomain com AppArmor na maioria dos casos
• compilação, código, e limpezas de comentário

O que é novo na versão 2.5.1:

• Correções de bugs e melhorias:
• Perfis do AppArmor:
• (LP: # 611248) Fix gnome abstração para carregadeiras gdk pixbuf
• (LP: # 538661) Ajuste caminho cgi para php5 abstração
• Adicionar 'k' para /var/lib/samba/**.tdb na abstração samba
• abstrações / user-tmp: require 'proprietário' de harmonização
• perfis / apparmor.d / abstrações / base: statvfs permitidos por padrão
• Adicionar abstração dbus-sessão (e usar Pix em vez de UIX)
• AppArmor analisador:
• (LP: # 599450). Alterar o redimensionamento da tabela de modo que há sempre altos entradas suficientes na tabela, impedindo violações barrancos ocorra
• (LP: # 626984). Impedir que o analisador de deixar de funcionar quando executado contra 2.6.36 versão do autor do AppArmor, que não apresenta informações parser espera
• Mover expressão rotulagem nó de árvore no nó expr-se a reduzir o uso de memória e tornar a rotulagem nó por dfa em vez de global.
• Limpe os conjuntos firstpos, lastpos e followpos iniciais para reduzir o uso de memória de pico.
• Adicione a capacidade para o apparmor_parser para despejar perfis achatados. Passando o sinalizador -p para o apparmor_parser faz com que ele para despejar um perfil achatado, que inclui todo o texto para todos inclui a stdout.
• fuga de memória Fix durante minimização dfa.
• (LP: # 588012). Corrigir vazamento de descritores de arquivos em arquivos incluídos
• (LP: # 588014). Relatório de número correto filename / linha em erros no parser
• Detectar quando abstrações foram modificados, e invalidar arquivo cache do perfil quando recarregar.
• Fix compilação / construção avisos.
• AppArmor Library (libapparmor):
• Corrija perl swig ligações para que libapparmor pode ser construído quando configurado sem perl.
• Adicionar suporte para mensagens no formato LSM_AUDIT
• Suporte Atualização para alterações de mensagens menores que ocorreram como parte do esforço upstreaming
• AppArmor do Desktop Notifier (apparmor_notify):
• fuga de memória Fix
• (LP: # 582075) grupo apparmor_notify como entradas junto ao usar -v com -s
• Definir em notify.conf agora o padrão é on (apparmor_notify geralmente não é instalado por padrão)
• Adicione as opções longas
• Limpeza de saída
• Melhor alça auditd
• Handle rotação de arquivo de log
• Use seteuid () para deixar cair privilégios para que possamos elevar / queda após rotação de arquivo de log. Adicionar opção -u usuário para deixar cair privilégios quando não estiver usando sudo
• A página Atualização homem
• AppArmor Utils (genprof / logprof):
• (LP: # 623467) SubDomain.pm: adicionar suporte para truncar distinta informou, rename_src, rename_dest, e mkdir operações
• AppArmor PAM Library (pam_apparmor):
• (LP: # 619521). Ensine pam_apparmor sobre o errno atual retornado pelo kernel quando o chapéu que foi passado não existe no perfil (mas existem outros chapéus)