 |
|
|
| 前のページ 1 2 3
|
|
| 導入・設定の概要
|
AppArmorは、OpenSUSE 10.1以降に取り込まれていますので、OpenSUSEの場合はインストール時に図2のように標準で有効になっています。
図2:インストール時に有効になっている (画像をクリックすると別ウィンドウに拡大図を表示します)
その他のディストリビューション向けとしては、CentOS 5およびRed Hat Enterprise Linux 5に使えるパッケージが、Novell社のサイトに公開されています。
インストール後、どんなアプリケーションにプロファイルが適用されるのかは、/etc/apparmor.d以下にある、プロファイルの設定ファイル一覧から図3のように確認することができます。
図3:設定ファイルを確認 (画像をクリックすると別ウィンドウに拡大図を表示します)
例えば、usr.sbin.syslogdは、「/usr/sbin/syslogd」に対するプロファイルである、という意味です。
|
| GUIを使って簡単に設定可能
|
プロファイルが用意されていないアプリケーションは、AppArmorの制限を受けずに動作します。AppArmorによって動作を制限するには、プロファイル設定を自分で用意する必要がありますが、これは比較的簡単に設定できます。
AppArmorに関する設定作業は、SUSE Linuxの管理ツールである「YaST」を通じて、図4のようなGUIで行うことができます。
図4:YaSTのGUI (画像をクリックすると別ウィンドウに拡大図を表示します)
アプリケーションに対するプロファイルを新たに用意するには、「プロファイルの追加ウィザード」を使うだけです。図5〜7のような画面を通じて必要な設定を行えます。
図5:設定したいアプリケーションのパスを入力
図6:アプリケーションをテスト動作させ、必要な権限をログに取得 (画像をクリックすると別ウィンドウに拡大図を表示します)
図7:取得したログを基に、必要な設定を次々に提示 (画像をクリックすると別ウィンドウに拡大図を表示します)
すでにプロファイルが用意されているアプリケーションについて、プロファイル設定不足でうまく動作しない場合は「プロファイルの更新ウィザード」を起動します。すると、図7と同様の画面で不足した設定が生成されます。
基本的な設定方法は以上です。より細かい情報が必要な場合は、Novell社のサイトにあるマニュアルを参考にしてください。
|
| 今後の展開
|
現在AppArmor開発者達が力を入れているのが、Linuxカーネル本体への取り込み活動です。カーネル本体に取り込んでもらえるよう、コードをLinuxカーネルのメーリングリスト(lkml)に投稿しています。その結果として、SELinux支持者達との間で大きな議論を巻き起こしています。
議論な主な論点はセキュリティレベルを下げてまで、使い勝手を上げることの是非です。AppArmor開発者達とSELinux支持者達の意見は、真っ向から対立しており、議論は紛糾しています。カーネルに取り込まれれば、SUSE Linux以外のディストリビューションへの採用も進むと思われるため、lkmlでの議論に注目していきたいところです。
|
前のページ 1 2 3
|
|
|
|
|
|
|
|
|
|
