AppArmor

AppArmor er en åpen kildekode og kraftig kommandolinje programvare skrevet i C, C ++, Perl, UNIX shell og konstruert for å gi et ekstra lag med sikkerhet på din Linux-operativsystemet. Som navnet antyder, er AppArmor akkurat som en rustning for Linux-programmer, og tilbyr deg nettverk applikasjonssikkerhet gjennom nødvendig adgangskontroll for apps. Den er utformet for å beskytte systemet fra ulike malware.
AppArmor er et kommandolinjeverktøy som er designet fra forskyvningen å være enkel å bruke og effektiv, mens proaktivt beskytter hele Linux-basert operativsystem, og åpen kildekode-programmer fra ulike trusler. Mange moderne GNU / Linux-distribusjoner inkluderer AppArmor programvaren ved default.What alternativer er tilgjengelige fra kommandolinjen & quot;? AppArmor & rsquo; kommando omfatter et bredt spekter av alternativer, som for eksempel muligheten til å legge til, erstatte eller fjerne AppArmor definisjoner, tvinge profilen inn klage modus, still inn inngangen som profil pre-kompilert, dump utarbeidet profiler og navn på profilene til stdout eller innspill, skrive utgang til en bestemt fil, satt foten katalog og CWD, samt å angi plasseringen av AppArmor filsystem.
I tillegg gir det støtte til kartlegging profiler og rsquo; lesetilgang til mr, rapport cache glipp og traff detaljer, lagre bufrede profiler, angi plasseringen til profilen cache, vise profilnavn som de er lastet, debug AppArmor definisjoner, kontrollere DFA optimaliseringer, satt kl etter en viss profil, kjøre i rolig modus uten å gi ut advarsler, dumpe intern informasjon for debugging og AppArmor pre-behandlet profiles.Is AppArmor kompatibel med min Linux-boks? AppArmor er for tiden med i Arch Linux, Annvix, Debian GNU / Linux, Ubuntu, opensuse, Pardus Linux, Gentoo, PLD og Mandriva operativsystemer. Den støtter både 32-bit og 64-bit maskinvareplattformer, og det vil mest sannsynlig kjøre på mange andre distribusjoner av Linux basert på de nevnte operativsystemer.

Hva er nytt i denne slipp:

• Regler Compiler (aka apparmor_parser):
• Fix feil sammenstilling av revisjons modifikatorer for exec og pivot_root (lp # 1431717, lp # 1432045)
• Fix samling svikt nekte lenke regler (lp # 1433829)
• Fix organiseringen av nettverket familier datastruktur (takk til Philip Withnall og Simon McVittie)
• Riktig håndtering av feil resultat fra readdir_r (3)
• Fix kompilering feil når de bygger med gcc 5.
• Sørg for debugging og feilrapportering går til stderr
• Lagt testtilfeller og forbedringer for å teste infrastrukturen.
• utils:
• Support ekstra syslog format (lp # 1399027)
• Fix minitools å arbeide med flere profiler samtidig (lp # 1378095)
• aa-unconfined: arbeid med profilerte navn som ikke starter med /
• aa-status: ikke krasje når mountpoints inneholde UTF-8 tegn (lp # 1310598, takket være Alain BENEDETTI)
• aa-easyprof: legg --include-maler-dir og --include-politiske grupper-dir alternativer
• aa-klage: ikke krever strenge navn for profiler (lp # 1128468)
• Ignorer løsrevne bane hendelser snarere enn å krasje (BNC # 918787)
• Rydd opp profilen innledningen og flagg håndtering og legge til støtte for profilen vedlegg
• Rydd opp nettverk regel skriver
• Fix doblet '- & gt;' når du skriver ut exec regler (lp # 1437901)
• Fix krasjer når du leser "send" og "spor" log hendelser (lp # 1243932, lp # 1426651)
• Fix problemer å håndtere flere variable oppgaver
• Fix krasj når baneregler er atskilt med non-baneregler.
• Synkroniser utils og parsere oppfatningen av hvilke filer og kataloger å ignorere
• Andre mindre forbedringer
• Mange har lagt testtilfeller og forbedringer for å teste infrastrukturen
• Regler:
• Oppdateringer til følgende profiler ...
• mysqld
• dovecot (lp # 1296667)
• dnsmasq (BNC # 911001, lp # 1403468, takket være Cedric Bosdonnat og Cameron Norman)
• Oppdateringer til følgende abstraksjoner:
• base - Tillat skriver til systemd journal socket (lp # 1413232)
• aspell - gir tilgang til / usr / share / aspell / (takk til Felix Geyer)
• ssl_certs - Legge til støtte for / etc / pki (takk til Gregor Dschung)
• ubuntu_email - Legg Geary e-postklient (takk til Cameron Normon)
• ubuntu-hjelpere - tillate generasjon texlive skrifter (lp # 1010909)
• X - legge ny gdm sti (lp # 1432126)
• mir - ny abstraksjon (lp # 1422521)
• Dokumentasjon:
• Fix nettverk regelen beskrivelse og fjerne foreldete referanser til program-biter i apparmor.d (5)

Hva er nytt i versjon 2.9.1:

• Forbedringer og Bugs Fast:
• libapparmor:
• fix log analyse for 3,16 kjerner + syslog-ng, som ble forebygge utils fra arbeid (lp # 1399027, BNC # 905368)
• tillate hoppe bygge av man-sidene via konfigurere alternativet
• Regler parser:
• analyseringen av mount alternativet fixups:
• fikse feil montering
• mislykkes kompilering hvis man finner ukjente montere alternativer
• ikke behandler rekursive montere alternativer som normale alternativer
• fix feil skrivefeil
• legge språket parsing testtilfeller
• rydde opp noen mindre filbeskrivere håndtere problemer
• utils:
• Mange forbedringer og feilrettinger er gjort i python verktøy, inkludert ...
• foreslår abstraksjoner for manglende nettverk regler (lp # 1380368)
• ikke ber om eksisterende eksisterende nettverks regler (lp # 1380367)
• ytelsesforbedringer ved analyse loggfiler
• andre diverse feilrettinger
• Regler:
• Oppdateringer til følgende profiler ...
• dnsmasq
• nscd
• useradd
• sendmail
• man
• passwd
• Dokumentasjon:
• dokument muligheten til å laste profiler fra en katalog
• sync dokumentasjon på mount regler med parser implementering
• Oversettelser:
• oppdatert tysk, italiensk oversettelser

Hva er nytt i versjon 2.8.3:

• Denne utgivelsen er en trinnvis forbedring over AppArmor 2.8 0,2 slipp, med fokus på å fikse bugs i userspace koden.

Hva er nytt i versjon 2.8.2:

• Feilrettinger:
• Kshitij Gupta fikset en skjerm feil i aa-logprof, aa-genprof, med Glob og Glob med Ext sette doble oppføringer på listen. Reparasjonen innført et Perl 5.10.1 eller høyere avhengighet.
• Gernot Vormayr fikset en potensiell NULL-write in aa_getprocattr () error banen
• Michael Palimaka fast hu oversettelser
• Fix for cache feil når funksjonen filen er større enn intern buffer
• Fix apparmor_parser cache tempfile sted å bruke bestått arg
• Forbedringer:
• Dmitrijs Ledkovs fast konfigurere å bruke python-config hvis den finnes
• Dmitrijs Ledkovs gitt python3 kompabilitet endringer
• Referanse Venner:
• Intrigeri følger abstraksjoner / skrifter forbedringer
• Felix Geyer lagt Dolphin (standard Kubuntu filbehandler) til listen over fil ledere i abstraksjoner / ubuntu-browsers.d / ubuntu-integrasjon.
• Flytt poppler sin cMaps fra gnome til skrifter; gnome inkluderer skrifter
• Deny skrivinger til oppkomlingen brukersesjoner jobber i abstraksjoner / private-filer
• Deny @ {HOME} /. Gnome2 / Lightere / ** til abstraksjoner / private-files-strenge
• Legg til lesetilgang til @ {PROC} / sys / vm / overcommit_memory til abstraksjoner / base
• Oppdater Pulseaudio katalog- og cookie filbaner
• Legg til manglende tillatelser til nscd profilen.
• Deny evne block_suspend å nscd
• MariaDB kompatibilitet i abstraksjoner / mysql

Hva er nytt i versjon 2.8.1:

• Denne utgivelsen er en trinnvis forbedring over AppArmor 2.8 0,0 slipp, med fokus på å fikse bugs i userspace koden.

Hva er nytt i versjon 2.6.1:

• Forbedringer og Bugs Fast:
• AppArmor apache2 modul (mod_apparmor):
• Fix bygge tid knytte problem som hindret mod_apparmor fra å jobbe (LP: # 737074)
• AppArmor parser:
• Tillat parseren å angi flere nettverksprotokoller ved å feste settet filtrert ut på bygge gang (LP: # 732837)
• Fix parser for å sjekke sin egen tidsstempel mot bufrede profiler, for å sikre at den parser oppgraderinger, cacher bli regenerert (LP: # 731184)
• Fix profilen matching når et vedlegg ikke inneholder en regex mønster (f.eks profil krom-browser / usr / lib / krom-browser / krom-browser) (LP: # 731155)
• Legg løsning for eldre kjerner som ikke riktig filtrere ut nyere nettverksprotokoller utover AF_MAX (LP: # 727478)
• Fix rc.apparmor.functions brudd (LP: # 735429)
• AppArmor Profiler:
• Mindre fixups til profiler
• Fix "gjør sjekke 'test mål å dekke profilene i statister som forut
• AppArmor regresjonstester:
• Fix enkel tcp test og aktivere som standard

Hva er nytt i versjon 2.6.0:

• AppArmor parser:
• legge til støtte for profilnavn som er uavhengige av vedlegg spesifikasjon
• raskere politikk samling, med mindre peak minne bruk
• legge til et trygt exec overgang søkeord
• gjøre ledende x tillatelser i samsvar med etterfølgende x tillatelser
• ny politikk sammenstilling informasjon tipp flagg
• write_cache er ikke lenger en privilegert operasjon (DAC tillatelsene gjelder fortsatt)
• Bruk fil tidsstempler for å fastslå om cache er flau på load
• fikse dfa graf dumping
• legge -o muligheten til å dumpe samlet politikk til en fil
• gjeninnføre -p (preprocess) flagg
• fikse to x (utføre) overgang konflikt bugs (LP: # 693082) og legge til test-tilfeller
• Aktiver initscripts å jobbe med oppstrøms kjernen som mangler kompatibilitetsoppdateringer
• hoppe cache prøver under oppbygging når securityfs ikke er montert
• bryte ut make mål slik at distributørene som ikke ønsker full dokumentasjon kan plukke de målene de ønsker
• AppArmor utils (aa-genprof / aa-logprof):
• standardisere på alle utils bruke & quot; AA- & quot; prefiks
• legge aa-deaktiver, til et verktøy deaktivere profilene
• oppdatert apparmor.vim til mer nøyaktig analysere dagens politikk språk syntaks
• abstrakt ut perl leverandøren stedet for distroer å overstyre om nødvendig ved installasjon tid
• fix for å sette klage modus på subprofiles (LP: # 707092)
• andre mindre feilrettinger
• AppArmor Library (libapparmor):
• legge til støtte for nyere auditd formaterte meldinger.
• gjøre change_hatv (), change_hat_varargs () tilgjengelige via Swig grensesnitt
• fix python Swig bindinger å være funksjonelle
• AppArmor utslipp brede endringer:
• nye / oppdaterte regresjonstester
• nye og oppdaterte profil abstraksjoner
• nye og oppdaterte referanseprofiler
• uthvilt kernel kompatibilitetsoppdateringer for de fleste nyere versjoner av kjernen
• oppdatert dokumentasjon og oversettelse filer
• Fix opp Tomcat bygge
• gjøre setup målet arbeide selvstendig
• erstatte underdomene med AppArmor i de fleste tilfeller
• bygge, kode, og kommentere opprydding

Hva er nytt i versjon 2.5.1:

• feilrettinger og forbedringer:
• AppArmor Profiler:
• (LP: # 611248) Fix gnome abstraksjon for gdk pixbuf Gravere
• (LP: # 538661) Juster cgi banen for php5 abstraksjon
• Legg til 'k' å /var/lib/samba/**.tdb i samba abstraksjon
• abstraksjoner / bruker tmp: require "eier" matching
• profiler / apparmor.d / abstraksjoner / base: statvfs tillatt som standard
• Legg dbus-session abstraksjon (og bruke Pix heller enn Uix)
• AppArmor parser:
• (LP: # 599450). Endre tabellen skalering slik at det alltid er tilstrekkelig høye oppføringer i tabellen, hindrer grensene brudd oppstår
• (LP: # 626984). Forhindre parser fra å krasje når det kjøres mot 2.6.36 oppstrøms versjon av AppArmor som ikke viser informasjon parser forventer
• Flytt uttrykk trenode merking til expr node seg til å redusere minnebruken og foreta node merking per dfa snarere enn global.
• Rydd opp settene firstpos, lastpos og followpos tidlig å redusere peak minnebruken.
• Legg til muligheten for apparmor_parser å dumpe flate profiler. Passerer -p flagget til apparmor_parser fører det til å dumpe en flat profil som inneholder all teksten for alle omfatter til stdout.
• Fix minnelekkasje under dfa minimalisering.
• (LP: # 588012). Fix lekker fildeskriptorer på inkluderte filer
• (LP: # 588014). Rapporter riktig filnavn / linjenummer på feil i parser
• Oppdage når abstraksjoner har blitt endret, og ugyldig profil cache filen når omlasting.
• Fix kompilering / bygge advarsler.
• AppArmor Library (libapparmor):
• Fix perl swig bindinger slik at libapparmor kan bygges når konfigurert uten perl.
• Legg til støtte for LSM_AUDIT format meldinger
• Oppdater støtte for mindre beskjed endringene som skjedde som en del av upstreaming innsats
• AppArmor Desktop varsleren (apparmor_notify):
• Fix minnelekkasje
• (LP: # 582075) apparmor_notify gruppe som oppføringer sammen når du bruker -V med -s
• Sette i notify.conf nå som standard på (apparmor_notify er vanligvis ikke installert som standard)
• Legg til lange flagg
• Opprydding utgang
• Bedre håndtak auditd
• Håndtak loggfil rotasjon
• Bruk seteuid () for å slippe privilegier, slik at vi kan heve / slipp etter loggfil rotasjon. Legg -u bruker alternativ for å slippe privilegier når du ikke bruker sudo
• Oppdater mannen siden
• AppArmor utils (genprof / logprof):
• (LP: # 623467) SubDomain.pm: legge til støtte for distinkt rapportert avkorte, rename_src, rename_dest, og mkdir operasjoner
• AppArmor PAM Library (pam_apparmor):
• (LP: # 619521). Lær pam_apparmor om gjeldende errno returnert av kjernen når lue som ble vedtatt ikke eksisterer i profilen (men andre hatter eksisterer)