AppArmor

AppArmor merupakan open source dan software baris perintah kuat yang ditulis dalam C, C ++, Perl, UNIX shell dan dirancang untuk memberikan lapisan tambahan keamanan untuk sistem operasi Linux. Seperti namanya, AppArmor adalah seperti baju besi untuk aplikasi Linux Anda, menawarkan keamanan jaringan aplikasi melalui kontrol akses yang diperlukan untuk aplikasi. Hal ini dirancang untuk melindungi sistem anda dari berbagai malware.
AppArmor adalah alat baris perintah yang telah dirancang dari offset untuk mudah digunakan dan efektif, sementara secara proaktif melindungi seluruh sistem operasi berbasis Linux-dan open source aplikasi Anda dari berbagai ancaman. Banyak distribusi GNU / Linux modern termasuk AppArmor perangkat lunak dengan pilihan default.What tersedia dari baris perintah The & lsquo;? AppArmor & rsquo; perintah mencakup berbagai macam pilihan, seperti kemampuan untuk menambahkan, mengganti atau menghapus definisi AppArmor, memaksa profil ke mengeluh modus, mengatur input sebagai profil, profil sampah dikompilasi pra-disusun dan nama profil untuk stdout atau masukan, menulis output ke file tertentu, mengatur direktori dasar dan cwd, serta untuk mengatur lokasi filesystem AppArmor.
Selain itu, ia menyediakan dukungan untuk profil pemetaan & rsquo; membaca izin untuk mr, laporan Cache miss dan memukul detail, menyimpan profil cache, menetapkan lokasi cache profil, nama profil display seperti yang dimuat, definisi men-debug AppArmor, mengontrol DFA optimasi, mengatur Namespace untuk profil tertentu, berjalan di tenang Modus tanpa keluaran peringatan, membuang informasi internal untuk debugging dan AppArmor pra-diproses profiles.Is AppArmor kompatibel dengan kotak Linux saya? AppArmor saat dimasukkan dalam Arch Linux, Annvix, Debian GNU / Linux, Ubuntu, openSUSE, Pardus Linux, Gentoo, sistem operasi PLD dan Mandriva. Ini mendukung kedua 32-bit dan 64-bit platform perangkat keras, dan itu sangat mungkin akan berjalan pada banyak distribusi lain Linux didasarkan pada OS tersebut.

Apa yang baru di ini melepaskan:

• Kebijakan Compiler (alias apparmor_parser):
• Perbaiki kompilasi yang salah pengubah audit exec dan pivot_root (lp # 1431717, lp # 1432045)
• kegagalan kompilasi Fix dari menyangkal aturan Link (lp # 1433829)
• organisasi Fix jaringan keluarga struktur data (terima kasih kepada Philip Withnall dan Simon McVittie)
• penanganan yang benar dari hasil kesalahan dari readdir_r (3)
• kegagalan kompilasi Perbaiki ketika membangun dengan gcc 5.
• Pastikan debugging dan pelaporan kesalahan pergi ke stderr
• kasus Ditambahkan tes dan perbaikan untuk menguji infrastruktur.
• Utils:
• Dukungan Format syslog tambahan (lp # 1399027)
• Fix minitools untuk bekerja dengan beberapa profil sekaligus (lp # 1378095)
• aa-terbatasi: pekerjaan dengan nama profil yang tidak dimulai dengan /
• aa status: tidak crash ketika mountpoints berisi UTF-8 karakter (lp # 1310598, berkat Alain Benedetti)
• aa-easyprof: menambahkan --include-template-dir dan --include-kebijakan-kelompok dir opsi
• aa-mengeluh: tidak memerlukan nama ketat untuk profil (lp # 1128468)
• Abaikan acara jalan terputus daripada menabrak (bnc # 918787)
• Bersihkan profil Pembukaan dan penanganan bendera dan menambahkan dukungan untuk attachment profil
• Bersihkan aturan jaringan menulis
• Fix dua kali lipat '- & gt;' ketika menuliskan aturan exec (lp # 1437901)
• Perbaiki crash ketika membaca 'kirim' dan 'jejak' peristiwa (lp # 1243932, lp # 1.426.651) log
• Perbaiki masalah penanganan tugas variabel tambahan
• Fix crash ketika aturan jalan dipisahkan oleh aturan non-jalan.
• Sync yang utils dan parser gagasan yang file dan direktori untuk mengabaikan
• perbaikan kecil lainnya
• Banyak menambahkan uji kasus dan perbaikan untuk menguji infrastruktur
• Kebijakan:
• Pembaruan profil berikut ...
• mysqld
• dovecot (lp # 1296667)
• dnsmasq (bnc # 911001, lp # 1403468, berkat Cedric Bosdonnat dan Cameron Norman)
• Pembaruan abstraksi berikut:
• dasar - Memungkinkan menulis ke soket jurnal systemd (lp # 1413232)
• aspell - memungkinkan akses ke / usr / share / aspell / (terima kasih kepada Felix Geyer)
• ssl_certs - Tambahkan dukungan untuk / etc / pki (terima kasih kepada Gregor Dschung)
• ubuntu_email - Tambahkan klien email geary (terima kasih kepada Cameron Normon)
• ubuntu-pembantu - memungkinkan generasi font TeXLive (lp # 1010909)
• X - menambahkan path gdm baru (lp # 1432126)
• mir - abstraksi baru (lp # 1422521)
• Dokumentasi:
• deskripsi aturan jaringan Fix dan menghapus referensi usang program-potongan di apparmor.d (5)

Apa yang baru di versi 2.9.1:

• Perbaikan dan Bugs tetap:
• libapparmor:
• log memperbaiki parsing untuk 3.16 kernel + syslog-ng, yang mencegah util dari bekerja (lp # 1399027, bnc # 905368)
• memungkinkan melewatkan membangun dari halaman manual melalui opsi configure
• Kebijakan Parser:
• parsing dari gunung pilihan fixups:
• memperbaiki yang salah opsi untuk mount
• gagal kompilasi jika diketahui opsi untuk mount ditemukan
• tidak memperlakukan rekursif opsi untuk mount sebagai pilihan yang normal
• memperbaiki kesalahan ketik

Kasus
• menambahkan bahasa uji parsing
• membersihkan beberapa masalah penanganan kecil file descriptor
• Utils:
• perbaikan dan perbaikan bug Banyak dibuat dengan alat python, termasuk ...
• mengusulkan abstraksi untuk aturan jaringan yang hilang (lp # 1380368)
• tidak meminta ada aturan jaringan yang ada (lp # 1380367)
• perbaikan kinerja ketika parsing file log
• perbaikan bug lain-lain
• Kebijakan:
• Pembaruan profil berikut ...
• dnsmasq
• nscd
• useradd
• sendmail
• man
• passwd
• Dokumentasi:
• kemampuan dokumen untuk memuat profil dari direktori
• dokumentasi sync pada aturan gunung dengan implementasi parser ini
• Terjemahan:
• diperbarui Jerman, terjemahan Italia

Apa yang baru di versi 2.8.3:

• Rilis ini merupakan perbaikan inkremental selama AppArmor 2,8 .2 rilis, dengan fokus pada memperbaiki bug dalam kode userspace.

Apa yang baru di versi 2.8.2:

• Perbaikan bug:
• Kshitij Gupta tetap layar bug di aa-logprof, aa-genprof, dengan Glob dan Glob dengan Ext menempatkan duplikat entri dalam daftar. Memperbaiki memperkenalkan Perl 5.10.1 atau ketergantungan tinggi.
• Gernot Vormayr tetap potensi NULL-write di aa_getprocattr () path error
• Michael Palimaka tetap hu terjemahan
• Fix untuk kegagalan cache ketika file fitur lebih besar dari internal buffer
• Fix lokasi apparmor_parser Cache tempfile untuk menggunakan berlalu arg
• Perbaikan:
• Dmitrijs Ledkovs configure tetap menggunakan python-config jika ada
• Dmitrijs Ledkovs tersedia python3 perubahan kesesuaian
• Referensi Profil update:
• Intrigeri tersedia abstraksi / font perbaikan
• Felix Geyer menambahkan Dolphin (default Kubuntu manajer file) ke daftar file manajer di abstraksi / ubuntu-browsers.d / ubuntu-integrasi.
• Pindahkan cMaps Poppler itu dari gnome ke font; gnome termasuk font
• Deny menulis untuk pemula sesi pengguna pekerjaan di abstraksi /-file pribadi
• Deny @ {HOME} /. GNOME2 / keyrings / ** untuk abstraksi / swasta-file-yang ketat
• Add akses baca ke @ {} PROC / sys / vm / overcommit_memory untuk abstraksi / base
• Direktori Perbarui pulseaudio dan file cookie jalur
• Tambahkan izin untuk profil nscd hilang.
• Deny kemampuan block_suspend untuk nscd
• MariaDB kompatibilitas di abstraksi / mysql

Apa yang baru di versi 2.8.1:

• Rilis ini merupakan perbaikan inkremental selama AppArmor 2,8 0,0 rilis, dengan fokus pada memperbaiki bug dalam kode userspace.

Apa yang baru di versi 2.6.1:

• Perbaikan dan Bugs tetap:
• modul AppArmor apache2 (mod_apparmor):
• Perbaiki waktu pembangunan menghubungkan masalah yang mencegah mod_apparmor dari bekerja (LP: # 737074)
• AppArmor Parser:
• Izinkan parser untuk menentukan protokol jaringan lainnya memperbaiki set disaring pada waktu pembangunan (LP: # 732837)
• Fix parser untuk memeriksa cap sendiri terhadap profil cache, untuk memastikan bahwa pada upgrade parser, cache bisa diregenerasi (LP: # 731184)
• Fix pencocokan profil ketika nama attachement tidak mengandung pola regex (misalnya profil chromium-browser / usr / lib / chromium-browser / chromium-browser) (LP: # 731155)
• Add solusi untuk kernel yang lebih tua yang tidak benar menyaring protokol jaringan baru di luar AF_MAX (LP: # 727478)
• Fix rc.apparmor.functions kerusakan (LP: # 735429)
• Profil AppArmor:
• fixups kecil ke profil
• Fix 'membuat memeriksa' sasaran tes untuk menutupi profil di ekstra sebagaimana dimaksud
• AppArmor tes regresi:
• Perbaiki tes tcp sederhana dan mengaktifkan kembali secara default

Apa yang baru di versi 2.6.0:

• AppArmor Parser:
• menambahkan dukungan untuk nama profil yang independen dari spesifikasi lampiran
• penyusunan kebijakan lebih cepat, dengan lebih sedikit penggunaan memori puncak
• menambahkan aman exec transisi kata kunci
• membuat terkemuka x izin konsisten dengan mengikuti x izin

Bendera
• kebijakan baru informasi kompilasi sampah
• write_cache tidak lagi operasi istimewa (izin DAC masih berlaku)
• cap waktu penggunaan berkas untuk menentukan apakah cache basi pada beban
• memperbaiki grafik DFA membuang
• menambahkan opsi -o untuk membuang kebijakan disusun ke file
• memperkenalkan kembali p (preprocess) flag
• memperbaiki dua x (execute) bug konflik transisi (LP: # 693082) dan menambahkan testcases
• mengaktifkan skrip init untuk bekerja dengan kernel hulu yang hilang patch kompatibilitas
• melewati tes cache yang selama membangun saat securityfs tidak dipasang
• pecah target make sehingga distributor yang tidak ingin dokumentasi lengkap dapat memilih target yang mereka inginkan
• AppArmor Utils (aa-genprof / aa-logprof):
• standarisasi pada semua utils menggunakan & quot; AA- & quot; awalan
• add aa-disable, utilitas untuk menonaktifkan profil
• diperbarui apparmor.vim untuk lebih akurat mengurai sintaks bahasa kebijakan saat ini
• abstrak keluar perl lokasi vendor untuk distro untuk menimpa jika diperlukan pada saat instalasi
• fix untuk mengatur modus dari subprofil mengeluh (LP: # 707092)
• perbaikan bug kecil lainnya
• AppArmor Perpustakaan (libapparmor):
• menambahkan dukungan untuk auditd diformat pesan baru.
• membuat change_hatv (), change_hat_varargs () tersedia melalui antarmuka meneguk
• binding memperbaiki python meneguk menjadi fungsional
• rilis AppArmor perubahan lebar:
• baru / tes regresi diperbarui
• abstraksi profil baru dan diperbarui
• profil referensi baru dan diperbarui
• patch kompatibilitas kernel segar untuk versi terbaru dari kernel
• diperbarui dokumentasi dan penerjemahan file
• Memperbaiki tomcat membangun
• membuat pengaturan sasaran kerja mandiri
• mengganti subdomain dengan AppArmor dalam kebanyakan kasus
• membangun, kode, dan komentar pembersihan

Apa yang baru di versi 2.5.1:

• Perbaikan Bug dan Perangkat:
• Profil AppArmor:
• (LP: # 611248) Perbaiki gnome abstraksi untuk loader gdk pixbuf
• (LP: # 538661) Sesuaikan jalur cgi untuk php5 abstraksi
• Add 'k' untuk /var/lib/samba/**.tdb dalam abstraksi samba
• abstraksi / user-tmp: membutuhkan 'pemilik' pencocokan
• profil / apparmor.d / abstraksi / base: statvfs diizinkan secara default
• Add dbus-sesi abstraksi (dan menggunakan Pix daripada Uix)
• AppArmor Parser:
• (LP: # 599450). Mengubah Resize meja sehingga selalu ada entri cukup tinggi dalam tabel, mencegah pelanggaran batas dari terjadi
• (LP: # 626984). Mencegah parser dari menerjang ketika dijalankan terhadap 2.6.36 versi hulu AppArmor yang tidak hadir parser informasi mengharapkan
• Pindahkan ekspresi simpul pohon label ke expr simpul sendiri untuk mengurangi penggunaan memori dan membuat simpul label per DFA daripada global.
• Bersihkan set firstpos, lastpos, dan followpos awal untuk mengurangi penggunaan memori puncak.
• Add kemampuan untuk apparmor_parser untuk membuang profil pipih. Melewati bendera p untuk apparmor_parser yang menyebabkan itu untuk membuang profil pipih yang mencakup semua teks untuk semua termasuk ke stdout.
• kebocoran memori Fix selama minimisasi DFA.
• (LP: # 588012). Perbaiki bocor deskriptor file pada file yang disertakan
• (LP: # 588014). Laporan nomor yang benar nama file / garis pada kesalahan dalam parser
• Mendeteksi ketika abstraksi telah dimodifikasi, dan membatalkan berkas profil cache ketika reload.
• kompilasi Fix / membangun peringatan.
• AppArmor Perpustakaan (libapparmor):
• Perbaiki perl swig binding sehingga libapparmor yang dapat dibangun jika dikonfigurasi tanpa perl.
• Add dukungan untuk pesan Format LSM_AUDIT
• dukungan Pembaruan untuk perubahan pesan kecil yang terjadi sebagai bagian dari upaya upstreaming
• AppArmor Desktop Notifier (apparmor_notify):
• kebocoran memori Fix
• (LP: # 582075) kelompok apparmor_notify seperti entri bersama-sama ketika menggunakan v dengan -s
• Pengaturan di notify.conf sekarang default ke atas (apparmor_notify biasanya tidak terinstal secara default)
• Tambahkan opsi panjang
• Cleanup keluaran
• pegangan yang lebih baik auditd
• rotasi Handle logfile
• Gunakan seteuid () untuk menjatuhkan hak istimewa sehingga kami dapat meningkatkan / drop setelah rotasi file log. Tambahkan opsi PENGGUNA u untuk menjatuhkan hak istimewa bila tidak menggunakan sudo
• Halaman Perbarui man
• AppArmor Utils (genprof / logprof):
• (LP: # 623467) SubDomain.pm: menambahkan dukungan untuk melaporkan truncate berbeda, rename_src, rename_dest, dan mkdir operasi
• AppArmor PAM Perpustakaan (pam_apparmor):
• (LP: # 619521). Ajarkan pam_apparmor tentang errno saat dikembalikan oleh kernel ketika topi yang disahkan tidak ada di profil (tapi topi lain ada)