AppArmor

AppArmor ist ein Open Source und leistungsfähige Kommandozeilen-Software in C, C ++, Perl, UNIX-Shell geschrieben und entwickelt, um eine zusätzliche Sicherheitsebene für Ihr Linux-Betriebssystem zu schaffen. Wie der Name andeutet, ist AppArmor wie einer Rüstung für Ihren Linux-Anwendungen und bietet Ihnen die Anwendungssicherheit durch notwendige Zugriffssteuerung für Anwendungen zu vernetzen. Es wurde entwickelt, um Ihr System vor verschiedenen Malware.
AppArmor ist ein Kommandozeilen-Tool, das von der Offset ausgelegt ist einfach zu bedienen und effektiv zu sein, während proaktiv schützt Ihre gesamte Linux-basiertes Betriebssystem und Open-Source-Anwendungen aus verschiedenen Bedrohungen. Viele moderne GNU / Linux-Distributionen enthalten das AppArmor-Software von default.What Optionen sind von der Befehlszeile Das & lsquo verfügbar;? ​​Apparmor & rsquo; Befehl enthält eine breite Palette von Optionen, wie zum Beispiel die Fähigkeit, hinzuzufügen, zu ersetzen oder zu entfernen AppArmor Definitionen, zwingen das Profil in die Meldungsmodus, stellen Sie den Eingang als vorkompilierte Profil, dump erstellt Profile und die Namen der Profile auf die Standardausgabe oder in-Eingang, Ausgabe in einer bestimmten Datei, stellen Sie den Hauptordner und CWD sowie auf die Lage des AppArmor-Dateisystem festlegen.
Darüber hinaus bietet es Unterstützung für die Zuordnung von Profilen & rsquo; Leseberechtigungen für mr, Bericht Cache-Miss und schlug Details, speichern zwischengespeicherten Profilen, stellen Sie die Position des Profil-Cache, Anzeige Profilnamen, geladen sind, debug AppArmor der Definitionen, DFA-Optimierungen, Set-Namespace für ein bestimmtes Profil, in ruhiger laufen Modus ohne Ausgabe von Warnungen, Mulden internen Informationen für die Fehlersuche und AppArmor vorverarbeiteten profiles.Is AppArmor mit meinem Linux-kompatibel? AppArmor wird derzeit in der Arch Linux, Annvix, Debian GNU / Linux, Ubuntu, openSUSE, Pardus Linux, Gentoo enthalten, PLD und Mandriva-Betriebssystemen. Es unterstützt sowohl 32-Bit- und 64-Bit-Hardware-Plattformen, und es wird wahrscheinlich auf vielen anderen Linux-Distributionen auf der Grundlage der oben genannten Betriebssysteme ausgeführt werden.

Was ist neu in diese Mitteilung:

• Politik Compiler (aka apparmor_parser):
• Fix falsche Zusammenstellung von Prüfungs Modifikatoren für exec und pivot_root (lp # 1431717, LP # 1432045)
• Fix Compilation Ausfall leugnen Link Regeln (lp # 1433829)
• Fix Organisation von Netzwerkfamilien-Datenstruktur (Dank an Philip und Simon Withnall McVittie)
• Der richtige Umgang mit Fehlerergebnis von readdir_r (3)
• Ausfälle Fix Zusammenstellung bei der Erstellung mit gcc 5.
• Stellen Sie sicher, das Debugging und die Fehlerberichterstattung geht an stderr
• Veröffentlicht von Testfällen und Verbesserung der Infrastruktur zu testen.
• Utils:
• Unterstützung zusätzlicher syslog-Format (LP # 1399027)
• Fix Minitools, mit mehrere Profile gleichzeitig zu arbeiten (lp # 1378095)
• aa-unconfined: Arbeit mit Profilnamen, die nicht mit /
Sie beginnen
• aa-Status: nicht abstürzen, wenn Mountpunkte enthalten, UTF-8-Zeichen (lp # 1310598 dank Alain BENEDETTI)
• aa-easyprof: add --include-Vorlagen-dir und --include-policy-Gruppen-dir-Optionen
• aa-beschweren: keine strenge Namen für Profile (LP # 1128468) erforderlich
• Ignorieren getrennten Pfad Veranstaltungen statt Absturz (bnc # 918787)
• Clean up Profil Präambel und Flagge Handhabung und Unterstützung für Profilaufnahme
• Clean up Netzwerkregel schreiben
• Fix verdoppelt '- & gt;' beim Schreiben aus exec Regeln (lp # 1437901)
• Fix stürzt beim Lesen von "Senden", und 'trace' Protokollereignisse (lp # 1243932, LP # 1426651)
• Probleme beheben Umgang zusätzliche Variablenzuweisungen
• Fix Absturz beim Pfadregeln werden durch nicht-Pfadregeln getrennt.
• Sync die utils und der Parser Vorstellung, von denen Dateien und Verzeichnisse zu ignorieren
• Weitere kleine Verbesserungen
• Zahlreiche Testfälle aufgenommen und Verbesserungen der Infrastruktur zu testen
• Politik:
• Updates für die folgenden Profile ...
• mysqld
• dovecot (lp # 1296667)
• dnsmasq (bnc # 911001, LP # 1403468 dank Cedric Bosdonnat und Cameron Norman)
• Updates für die folgenden Abstraktionen:
• Basis - Lassen Sie schreibt in die systemd Zapfenaufnahme (lp # 1413232)
• aspell - erlauben den Zugriff auf / usr / share / aspell / (Dank an Felix Geyer)
• ssl_certs - Hinzufügen von Unterstützung für / etc / PKI (dank Gregor Dschung)
• ubuntu_email - Hinzufügen geary E-Mail-Client (dank Cameron Normon)
• ubuntu-Helfer - ermöglichen Generation von texlive-Schriften (lp # 1010909)
• X - eintragen Neue gdm Pfad (lp # 1432126)
• mir - neue Abstraktion (lp # 1422521)
• Dokumentation:
• Fix Netzregelbeschreibung und entfernen veraltete Verweise auf Programm-Chunks in apparmor.d (5)

Was ist neu in Version 2.9.1:

• Verbesserungen und Bugs behoben:
• libapparmor:
• fix log Parsen für 3.16 Kernel + syslog-ng, die von der Arbeit zu verhindern utils wurde (lp # 1399027, bnc # 905368)
• ermöglicht das Überspringen Build von man-Seiten über Konfigurationsoption
• Politik Parser:
• Parsen von Mount-Option Korrekturen:
• beheben falsche Mount-Optionen
• scheitern Zusammenstellung, wenn nicht bekannt Mount-Optionen gefunden werden
• behandeln nicht rekursive Mount-Optionen wie normale Optionen
• fix Fehler Tippfehler
• hinzufügen Sprache Parsing Testfälle
• bereinigen einige kleinere Handhabung von Dateideskriptoren Fragen
• Utils:
• Zahlreiche Verbesserungen und Fehlerbehebungen wurden den python-Tools, einschließlich ...
• schlägt Abstraktionen für fehlende Netzwerkregeln (lp # 1380368)
• nicht für bestehende bestehende Netzwerkregeln (lp # 1380367)
Fragen
• Performance-Verbesserungen beim Analysieren von Protokolldateien
• andere verschiedene Bugfixes
• Politik:
• Updates für die folgenden Profile ...
• dnsmasq
• nscd
• useradd
• sendmail
• Mensch
• passwd
• Dokumentation:
• Dokument Fähigkeit, Profile aus einem Verzeichnis zu laden
• Sync-Dokumentation auf dem Berg Regeln Implementierung Parser
• Übersetzungen:
• aktualisiert Deutsch, Italienisch Übersetzungen

Was ist neu in Version 2.8.3:

• Diese Version ist eine inkrementelle Verbesserung gegenüber dem AppArmor 2.8 0,2 lösen, die sich auf Beheben von Fehlern in der Userspace-Code.

Was ist neu in Version 2.8.2:

• Fehlerbehebungen:
• Kshitij Gupta Fest einen Anzeigefehler in logprof, aa-genprof, mit der Glob Glob und mit Ext setzen doppelte Einträge in der Liste. Das Update wurde ein Perl 5.10.1 oder höher Abhängigkeit.
• Fest Gernot Vormayr eine potentielle NULL-write in aa_getprocattr () Fehlerpfad
• Michael Palimaka Fest hu Übersetzungen
• Fix für Cache-Fehlern, wenn die Funktion Datei größer als interner Puffer ist
• Fix apparmor_parser Cache tempfile Ort zu übergeben arg
verwenden
• Verbesserungen:
• Dmitrijs Ledkovs Fest configure zu python-config verwenden, wenn es vorhanden ist
• Dmitrijs Ledkovs vorgesehen python3 compability Änderungen
• Referenz Profil-Updates:
• Intrigeri vorgesehen Abstraktionen / fonts Verbesserungen
• Felix Geyer hinzugefügt Dolphin (default Kubuntu Dateimanager), um die Liste der Datei-Manager in Abstraktionen / ubuntu-browsers.d / ubuntu-Integration.
• Bewegen CMaps poppler die von gnome, um Schriften; gnome enthält Schriftarten
• Deny Schreibvorgänge auf Emporkömmling Benutzersitzungen Arbeitsplätze in Abstraktionen / private-files
• Deny @ {HOME} /. Gnome2 / Schlüsselringe / ** Abstraktionen / private-files-strict
• Fügen Sie Lesezugriff auf @ {} PROC / sys / vm / overcommit_memory Abstraktionen / base
• Update Pulseaudio-Verzeichnis und Cookie-Dateipfade
• Fehlende Berechtigungen für den nscd Profil.
• Deny Fähigkeit block_suspend nscd
• MariaDB Kompatibilität in Abstraktionen / mysql

Was ist neu in Version 2.8.1:

• Diese Version ist eine inkrementelle Verbesserung gegenüber dem AppArmor 2.8 0,0 freisetzen, die sich auf Behebung von Fehlern in der Userspace-Code.

Was ist neu in Version 2.6.1:

• Verbesserungen und Bugs behoben:
• AppArmor apache2-Modul (mod_apparmor):
• Fix Bauzeit verbindet Problem, mod_apparmor am Arbeiten gehindert (LP: # 737074)
• AppArmor Parser:
• Lassen Sie den Parser, um weitere Netzwerkprotokolle durch die Festsetzung der Satz bei Build-Zeit gefiltert angeben (LP: # 732837)
• Fix-Parser, um einen eigenen Zeitstempel gegen zwischengespeicherten Profile zu überprüfen, zu der auf Parser-Upgrades zu gewährleisten, die Caches zu erhalten regeneriert (LP: # 731184)
• Fix Profil passenden, wenn eine Befestigung Name nicht ein Regex-Muster (zB Profil Chrom-Browser / usr / lib / Chrom-Browser / Chrom-Browser) (LP: # 731155) enthalten
• Workaround für ältere Kernel hinzufügen, die nicht richtig filtern habe aus neueren Netzwerkprotokolle über AF_MAX (LP: # 727478)
• Fix rc.apparmor.functions Bruch (LP: # 735429)
• AppArmor-Profilen:
• Minor Korrekturen, um Profile
• Fix "make check" Testziel, um die Profile in den Extrakosten abdecken soll
• AppArmor Regressionstests:
• Fix einfache TCP-Test und wieder aktivieren standardmäßig

Was ist neu in Version 2.6.0:

• AppArmor Parser:
• fügen Unterstützung für Profilnamen, die unabhängig von Befestigungs Spezifikation sind
• schneller Politik Zusammenstellung, mit weniger Spitzenspeichernutzung
• Eine sichere exec Übergang Schlüsselwort
• führende x Berechtigungen konsistent mit Hinter x Berechtigungen
• neue Politik Informationszusammenstellung Dump Flags
• write_cache ist nicht mehr eine privilegierte Operation (DAC-Berechtigungen gelten weiterhin)
• verwenden Zeitstempel-Datei, um festzustellen, ob Cache ist abgestanden nach Last
• beheben dfa graph Dumping
• Add Option -o kompiliert Politik in eine Datei auszug
• Wiedereinführung -p (Vorverarbeitung) Flag
• fix zwei x (execute) Übergang Konflikt Bugs (LP: # 693082) und fügen Sie Testfälle
• Aktivieren Init-Skripte, mit Upstream-Kernel-Patches, die Kompatibilität fehlt arbeiten
• überspringen Cache-Tests während der Build, wenn securityfs nicht montiert ist
• ausbrechen Make-Ziele, so dass Händler, die nicht möchten, dass eine vollständige Dokumentation können die Ziele, die sie wollen, wählen Sie
• AppArmor Utils (aa-genprof / logprof):
• Standardisierung auf allen utils mit der & quot; AA- & quot; prefix
• hinzufügen, aa-disable, ein Dienstprogramm zu deaktivieren Profile
• aktualisiert apparmor.vim genauer analysieren aktuelle Politik Syntax
• abstrakt aus der perl-Anbieter Ort für Distributionen auf, wenn bei der Installation notwendig außer Kraft zu setzen
• fix eingestellt Meldungsmodus auf Unterprofile (LP: # 707092)
• andere kleinere Bugfixes
• AppArmor Library (libapparmor):
• Unterstützung hinzufügen, für neuere auditd formatierte Nachrichten.
• machen change_hatv (), change_hat_varargs () verfügbar via Schluck Schnittstellen
• fix python Schluck Bindungen funktionell zu sein
• AppArmor Release weite Änderungen:
• neue / aktualisierte Regressionstests
• Alle neuen und aktualisierten Profil Abstraktionen
• neue und aktualisierte Referenzprofile
• erfrischt Kernel Kompatibilität Patches für die neuesten Versionen des Kernels
• aktualisierte Dokumentation und Übersetzungsdateien
• Fix up Tomcat bauen
• machen Setup Ziel arbeiten unabhängig
• ersetzen SubDomain mit AppArmor in den meisten Fällen
• build, Code und Kommentar Aufräum

Was ist neu in Version 2.5.1:

• Fehlerbehebungen und Verbesserungen:
• AppArmor-Profilen:
• (LP: # 611248) Fix gnome Abstraktion für gdk pixbuf Lader
• (LP: # 538661) Stellen Sie cgi-Pfad für php5 Abstraktion
• Add 'k' in der Samba-Abstraktion /var/lib/samba/**.tdb
• Abstraktionen / user-tmp: require 'Besitzer' passenden
• Profile / apparmor.d / Abstraktionen / base: statvfs standardmäßig zugelassen
• In dbus-Sitzung Abstraktion (und benutzen Pix anstatt UIx)
• AppArmor Parser:
• (LP: # 599450). Ändern Sie die Tabelle Größenänderung, so dass es immer ausreichend hoch Einträge in der Tabelle, die Verhütung Grenzen Verletzungen auftreten
• (LP: # 626984). Verhindern, dass der Parser vor einem Absturz, wenn gegen 2.6.36 Upstream-Version von AppArmor, die nicht vorhanden Informationen Parser erwartet bringt
• Bewegen Ausdrucksstrukturknoten Kennzeichnung in expr Knoten sich um die Speicherauslastung zu reduzieren und Knoten Kennzeichnung per dfa statt global.
• Bereinigen Sie die Sätze FirstPOS, lastpos und followpos früh, um maximale Speichernutzung zu reduzieren.
• Fügen Sie die Fähigkeit für die apparmor_parser zu abgeflachten Profile auszugeben. Vorbei an der Option -p, um den apparmor_parser verursacht es eine abgeflachte Profil, das den gesamten Text für alle gehören auf die Standardausgabe umfasst, um auszugeben.
• Fix Speicherverlust während dfa Minimierung.
• (LP: # 588012). Fix undichte Dateideskriptoren auf Dateien enthalten
• (LP: # 588014). Bericht korrekte Dateiname / Zeilennummer auf Fehler im Parser
• Erkennen Sie, wenn Abstraktionen wurden modifiziert, und ungültig Profil-Cache-Datei beim Nachladen.
• Fix Zusammenstellung / bauen Warnungen.
• AppArmor Library (libapparmor):
• Fix perl Schluck Bindungen, so dass libapparmor kann gebaut, als ohne perl konfiguriert werden.
• Hinzufügen von Unterstützung für LSM_AUDIT Format Nachrichten
• Update Unterstützung für kleinere Änderungen, die Nachricht als Teil des Steig Aufwand
aufgetreten
• AppArmor Desktop Notifier (apparmor_notify):
• Fix Speicherverlust
• (LP: # 582075) apparmor_notify Gruppe wie Einträge zusammen, wenn Sie mit -v -s
• Einstellung in notify.conf jetzt standardmäßig auf (apparmor_notify in der Regel nicht standardmäßig installiert)
• In langen Optionen
• Cleanup Ausgang
• Besserer Griff auditd
• Handle Logfile-Rotation
• Verwenden seteuid (), um Privilegien fallen, so dass wir / Drop-Protokolldatei nach Drehrichtung kann zu erhöhen. In -u Benutzer-Option für das Fallenlassen Privilegien wenn sie nicht mit sudo
• Update-man-Seite
• AppArmor Utils (genprof / logprof):
• (LP: # 623467) SubDomain.pm: add Unterstützung für verschiedene berichtet truncate, rename_src, rename_dest und mkdir Operationen
• AppArmor PAM-Bibliothek (pam_apparmor):
• (LP: # 619521). Teach pam_apparmor über die aktuelle errno vom Kernel zurückgegeben, wenn der Hut, übergeben wurde nicht in dem Profil vorhanden ist (aber andere Hüte existieren)