AppArmor

AppArmor est un open source puissant et un logiciel en ligne de commande écrit en C, C ++, Perl, shell UNIX et conçu pour fournir une couche supplémentaire de sécurité pour votre système d'exploitation Linux. Comme son nom l'indique, AppArmor est juste comme une armure pour vos applications Linux, vous offrant Réseau de la sécurité de l'application par le contrôle d'accès nécessaires pour les applications. Il est conçu pour protéger votre système contre les logiciels malveillants différents.
AppArmor est un outil de ligne de commande qui a été conçu à partir de l'offset pour être facile à utiliser et efficace, tout en protège de manière proactive votre système d'exploitation basé sur Linux et open source des applications entières de diverses menaces. Beaucoup de distributions GNU / Linux modernes incluent le logiciel de AppArmor par des options de default.What sont disponibles à partir de la ligne de commande Le & lsquo;? Apparmor & rsquo; commande comprend un large éventail d'options, telles que la possibilité d'ajouter, remplacer ou supprimer les définitions de AppArmor, forcer le profil en plaindre mode, réglez l'entrée du profil, les profils et les noms de profils pré-compilés benne compilé sur la sortie standard ou en entrée, écrire la sortie à un fichier spécifique, définir le répertoire de base et cwd, ainsi que pour définir l'emplacement du système de fichiers AppArmor.
En outre, elle fournit un soutien pour les profils de cartographie & rsquo; autorisations de lecture à mr, rapport en cache et a frappé de détails, enregistrer des profils mis en cache, définir l'emplacement de la cache de profil, les noms de profils d'affichage comme ils sont chargés, définitions débogage AppArmor, contrôler optimisations DFA, mis en espace de noms pour un certain profil, de fonctionner dans le calme Mode sans émettre des avertissements, vidage des informations internes pour le débogage et AppArmor pré-traitée profiles.Is AppArmor compatible avec ma boîte Linux? AppArmor est actuellement inclus dans le Arch Linux, Annvix, Debian GNU / Linux, Ubuntu, openSUSE, Pardus Linux, Gentoo, les systèmes d'exploitation PLD et Mandriva. Il prend en charge les plates-formes matérielles 32 bits et 64 bits, et il sera probablement fonctionner sur de nombreuses autres distributions de Linux basés sur les systèmes d'exploitation mentionnés ci-dessus.

Ce qui est nouveau dans ce libérer:

• Compiler Politique (aka apparmor_parser):
• Correction compilation erronée de modificateurs d'audit pour exec et pivot_root (lp # 1431717, 1432045 # lp)
• Correction d'un échec de la compilation de nier règles de liaison (lp N ° 1433829)
• organisation de Fix de la structure de données de familles de réseau (grâce à Philippe et Simon Withnall McVittie)
• La manipulation correcte de résultat d'erreur de readdir_r (3)
• Fix échecs de compilation lors de la construction avec gcc 5.
• Assurer le débogage et les rapports d'erreur va à stderr
• cas et des améliorations de test Ajouté à tester l'infrastructure.
• Utilitaires:
• format syslog supplémentaires de soutien (lp # 1399027)
• Minitools Corriger pour travailler avec plusieurs profils à la fois (lp # 1378095)
• aa-non confinés: travail avec les noms de profil qui ne débutent pas avec /
• aa-statut: ne plante pas quand les points de montage contiennent les caractères UTF-8 (LP # 1310598, grâce à Alain Benedetti)
• aa-EasyProf: ajouter --include-modèles-dir et --include-politique-groupes-dir d'options
• aa-plaindre: ne nécessitent pas de noms strictes pour les profils (lp N ° 1128468)
• Ignorer les événements de chemin déconnectés plutôt que de se briser (BNC # 918787)
• Nettoyer profil préambule et la manipulation du pavillon et ajouter le support pour le profil de fixation
• Nettoyer règle de réseau écrivant
• Fix doublé '- & gt;' lors de la rédaction des règles de exec (lp # 1437901)
• Fix accidents lors de la lecture 'envoyer' et 'trace' événements (lp N ° 1243932, 1426651 # lp) log
• Correction des problèmes de manutention des affectations de variables supplémentaires
• Correction du crash lors règles de chemin sont séparés par des règles non-chemin.
• Sync les utils et la notion des analyseurs dont les fichiers et répertoires à ignorer
• D'autres améliorations mineures
• De nombreux cas de test et les améliorations ajoutées pour tester l'infrastructure
• Politique:
• Mises à jour des profils suivants ...
• mysqld
• pigeonnier (lp # 1296667)
• Dnsmasq (BNC # 911001, LP # 1403468, grâce à Cedric Bosdonnat et Cameron Norman)
• Mises à jour des abstractions suivants:
• Base - Autoriser écrit à la prise de la revue systemd (lp # 1413232)
• aspell - permettre l'accès à / usr / share / aspell / (merci à Felix Geyer)
• ssl_certs - Ajout du support pour / etc / pki (grâce à Gregor Dschung)
• ubuntu_email - Ajouter geary client de messagerie (grâce à Cameron Normon)
• ubuntu-aidants - permettent génération de fontes texlive (lp N ° 1010909)
• X - ajouter un nouveau chemin de GDM (lp # 1432126)
• mir - nouvelle abstraction (lp # 1422521)
• Documentation:
• description de la règle de réseau Fix et supprimer les références obsolètes aux programmes-morceaux dans apparmor.d (5)

Ce qui est nouveau dans la version 2.9.1:

• Améliorations et bugs Correction:
• libapparmor:
• journal de correctif pour l'analyse 3.16 noyaux + syslog-ng, qui empêchait les utils de travailler (lp # 1399027, BNC # 905368)
• permettre à sauter construction de pages de manuel via l'option de configuration
• Politique Parser:
• l'analyse des options de montage corrections:
• fixer incorrecte options de montage
• échouer la compilation si inconnus options de montage sont trouvés
• Ne pas traiter récursive options de montage que les options normales
• erreur de typo fix

Cas
• tests d'analyse d'ajouter de la langue
• nettoyer certaines questions de manipulation de descripteur de fichier mineure
• Utilitaires:
• améliorations et corrections de bugs Nombreux ont été apportées aux outils de python, y compris ...
• abstractions proposant pour les règles de réseau manquant (lp N ° 1380368)
• de ne pas demander les règles de réseau existantes existante (lp # 1380367)
• amélioration des performances lors de l'analyse des fichiers journaux
• d'autres corrections de bugs divers
• Politique:
• Mises à jour des profils suivants ...
• Dnsmasq
• nscd
• useradd
• sendmail
• man
• passwd
• Documentation:
• Document possibilité de charger des profils à partir d'un répertoire
• Documentation de synchronisation sur les règles de montage avec la mise en œuvre de parser
• Traductions:
• actualisé allemand, traductions italiennes

Quoi de neuf dans la version 2.8.3:

• Cette version est une amélioration progressive au cours de la AppArmor 2.8 0,2 libérer, mettant l'accent sur la correction de bugs dans le code de l'espace utilisateur.

Ce qui est nouveau dans la version 2.8.2:

• Correction de bugs:
• Kshitij Gupta correction d'un bug d'affichage dans aa-logprof, aa-genprof, avec le Glob Glob et avec Ext mettre des entrées en double dans la liste. Le correctif introduit un Perl 5.10.1 ou de dépendance élevé.
• Gernot Vormayr fixé une valeur NULL-écriture potentiel dans aa_getprocattr () chemin d'erreur
• Michael Palimaka fixé hu traductions
• Correction d'échecs de cache lorsque le fichier de fonction est plus grande que la mémoire tampon interne
• Fix emplacement cache apparmor_parser tempfile Pour utiliser adopté arg
• Améliorations:
• Dmitrijs Ledkovs configure fixe à utiliser python-config si elle existe
• Dmitrijs Ledkovs fourni changements de compability de python3
• Mises à jour de référence du Profil:
• Intrigeri disponible abstractions / fonts améliorations
• Felix Geyer ajouté Dolphin (gestionnaire de fichiers par défaut de Kubuntu) à la liste des gestionnaires de fichiers dans les abstractions / ubuntu-browsers.d / ubuntu-intégration.
• Déplacer les CMaps de poppler de gnome aux polices; gnome inclut les polices
• Refuser écritures sur parvenus emplois les sessions utilisateur en abstractions / fichiers privés
• Refuser @ {HOME} /. Gnome2 / porte-clés / ** à des abstractions / privés-files-strictes
• Ajouter un accès en lecture à @ {} PROC / sys / vm / overcommit_memory à des abstractions / base
• chemins de répertoire Mise à jour de PulseAudio et fichier cookie
• Ajouter des autorisations au profil nscd manquant.
• Refuser capacité block_suspend à nscd
• MariaDB compatibilité dans les abstractions / mysql

Quoi de neuf dans la version 2.8.1:

• Cette version est une amélioration progressive au cours de la AppArmor 2.8 0,0 libérer, mettant l'accent sur la correction de bugs dans le code de l'espace utilisateur.

Ce qui est nouveau dans la version 2.6.1:

• Améliorations et bugs Correction:
• Module AppArmor apache2 (de mod_apparmor):
• Correction du temps de construction reliant problème qui empêchait mod_apparmor de travailler (LP: # 737074)
• AppArmor Parser:
• Laissez l'analyseur de spécifier plusieurs protocoles de réseau en fixant l'ensemble filtré au moment de la construction (LP: # 732837)
• Fix analyseur pour vérifier sa propre timestamp contre profils mis en cache, de sorte que sur les améliorations de l'analyseur, les caches se régénérer (LP: # 731184)
• Fix profil correspondant quand un nom de pièce jointe ne contient pas un motif regex (par exemple profil chromium-browser / usr / lib / chromium-browser / chromium-browser) (LP: # 731155)
• Ajoutez solution de contournement pour les anciens noyaux qui ne filtrent correctement les protocoles de réseau récentes delà AF_MAX (LP: # 727478)
• rc.apparmor.functions Fix rupture (LP: # 735429)
• Profils AppArmor:
• corrections mineures aux profils
• Fix 'make check "cible de test pour couvrir les profils en extras comme prévu
• les tests de régression AppArmor:
• Correction test de tcp simple et réactiver par défaut

Ce qui est nouveau dans la version 2.6.0:

• AppArmor Parser:
• ajouter le support pour les noms de profils qui sont indépendants de la spécification de fixation
• compilation plus rapide de la politique, en utilisant moins de mémoire de pointe
• ajouter un mot-clé sûre de transition exec
• Assurez leader x autorisations conformes aux autorisations de fuite x

Drapeaux
• nouvelle politique d'information de compilation benne
• write_cache est plus une opération privilégiée (autorisations du CAD appliquent toujours)
• horodateurs de fichiers utiliser pour déterminer si le cache est périmé sur la charge
• fixer graphique dfa le dumping
• ajouter l'option -o pour vider la politique compilé dans un fichier
• réintroduire -p drapeau (de prétraitement)
• fixer deux x (exécution) bogues transition de conflit (LP: # 693082) et ajouter testcases
• initscripts permettre de travailler avec un noyau en amont qui manque correctifs de compatibilité
• sauter les tests de mémoire cache pendant la construction lorsque securityfs est pas monté
• éclater objectifs de faire en sorte que les distributeurs qui ne veulent pas une documentation complète peuvent choisir les cibles qu'ils veulent
• Utilitaires AppArmor (aa-genprof / aa-logprof):
• standardiser sur tous les utils utilisant le & quot; AA- & quot; préfixe
• ajouter aa-disable, un utilitaire pour de désactiver les profils
• apparmor.vim mise à jour pour analyser avec plus de précision la syntaxe de la langue actuelle de la politique
• résumé sur l'emplacement du fournisseur de perl pour distributions à remplacer si nécessaire lors de l'installation
• fix pour régler le mode de sous-profils plaindre (LP: # 707092)
• d'autres corrections mineures
• Bibliothèque AppArmor (libapparmor):
• ajouter le support de nouveaux messages Auditd formaté.
• faire change_hatv (), change_hat_varargs () disponibles via des interfaces rasade
• fixations correctif python rasade d'être fonctionnelle
• AppArmor libération de larges modifications:
• les tests de régression de nouvelles mises à jour /
• nouvelles et mises à jour profil abstractions
• profils de référence nouvelles et mises à jour
• rafraîchis correctifs de compatibilité du noyau pour la plupart des versions récentes du noyau

Fichiers
• documentation mise à jour et de traduction
• Fix up tomcat construire
• faire une configuration de travail cible indépendamment
• remplacer SubDomain avec AppArmor dans la plupart des cas
• build, code, et commentaire nettoyages

Ce qui est nouveau dans la version 2.5.1:

• Correction de bugs et améliorations:
• Profils AppArmor:
• (LP: # 611248) Fixer gnome abstraction pour les chargeurs de gdk pixbuf
• (LP: # 538661) Ajuster chemin de cgi pour php5 abstraction
• Ajouter 'k' à /var/lib/samba/**.tdb dans l'abstraction de samba
• abstractions / utilisateur tmp: require 'propriétaire' correspondant
• profils / apparmor.d / abstractions / base: statvfs autorisées par défaut
• Ajouter dbus-session de l'abstraction (et utiliser Pix plutôt que UIX)
• AppArmor Parser:
• (LP: # 599450). Changez la table redimensionnement de sorte qu'il y ait toujours suffisamment élevées entrées de la table, empêchant bounds violations de se produire
• (LP: # 626984). Empêcher l'analyseur de planter quand courir contre 2.6.36 version amont de AppArmor qui ne présente pas d'informations analyseur attend
• Déplacer expression étiquetage de nœud de l'arbre en nœud de expr eux-mêmes pour réduire l'utilisation de la mémoire et de rendre obligatoire l'étiquetage de noeud par dfa plutôt que mondial.
• Nettoyer les ensembles firstpos, lastpos et followpos début pour réduire l'utilisation de mémoire de pointe.
• Ajouter la possibilité pour le apparmor_parser pour vider profils aplatis. Passant le drapeau -p de la apparmor_parser amène à vider un profil aplati qui comprend tout le texte pour tous comprend la sortie standard.
• fuite de mémoire Fix pendant la minimisation DFA.
• (LP: # 588012). Fixer fuite descripteurs de fichiers sur les fichiers inclus
• (LP: # 588014). Rapport nombre correct nom de fichier / ligne sur des erreurs de l'analyseur
• Détecter quand abstractions ont été modifiés, et invalident fichier profil de cache lors du rechargement.
• Fix compilation / construire avertissements.
• Bibliothèque AppArmor (libapparmor):
• Fix perl gorgée fixations sorte que libapparmor peut être construit lorsqu'il est configuré sans perl.
• Ajout du support pour les messages au format LSM_AUDIT
• le soutien de mise à jour pour des changements mineurs de messages qui ont eu lieu dans le cadre de l'effort de upstreaming
• AppArmor bureau Notifier (apparmor_notify):
• fuite de mémoire Fix
• (LP: # 582075) groupe apparmor_notify comme entrées ainsi que lors de l'utilisation avec -s -v
• Mise en notify.conf maintenant activée par défaut (apparmor_notify est généralement pas installé par défaut)
• Ajout des options longues
• sortie de nettoyage
• Mieux poignée auditd
• rotation Poignée de fichier journal
• Utiliser seteuid () d'abandonner les privilèges afin que nous puissions augmenter / baisse après la rotation de fichier journal. Ajouter option -u USER pour laisser tomber les privilèges lorsqu'ils ne sont pas en utilisant sudo
• Mise à jour de la page de man
• Utilitaires AppArmor (genprof / logprof):
• (LP: # 623467) SubDomain.pm: ajouter le support pour tronquée distincte signalé, rename_src, rename_dest, et mkdir opérations
• AppArmor PAM Bibliothèque (pam_apparmor):
• (LP: # 619521). Enseignez pam_apparmor sur le errno actuelles retournées par le noyau quand le chapeau qui a été adoptée ne existe pas dans le profil (mais d'autres chapeaux existe)