Jump to contentJump to page navigation: previous page [access key p]/next page [access key n]
コンテンツコンテンツ
セキュリティ強化ガイド
  1. 前書き
  2. 1 セキュリティと機密保持
  3. I 認証
    1. 2 PAM を利用した認証
    2. 3 NIS の使用
    3. 4 YaST を利用した認証クライアントの設定
    4. 5 389 Directory Server を利用した LDAP サービス
    5. 6 Kerberos を利用したネットワーク認証
    6. 7 Active Directory サポート
    7. 8 FreeRADIUS サーバの構築
  4. II ローカルセキュリティ
    1. 9 物理的なセキュリティ
    2. 10 ソフトウエア管理
    3. 11 ファイルの管理
    4. 12 パーティションやファイルの暗号化
    5. 13 cryptctl を利用したアプリケーション向けのストレージ暗号化
    6. 14 ユーザ管理
    7. 15 cronat の制限
    8. 16 Spectre/Meltdown チェッカー
    9. 17 YaST を利用したセキュリティの設定
    10. 18 Polkit 認可フレームワーク
    11. 19 Linux でのアクセス制御リスト
    12. 20 AIDE を利用した侵入検知
  5. III ネットワークセキュリティ
    1. 21 X Window System と X 認証
    2. 22 OpenSSH によるネットワーク操作の機密保持
    3. 23 マスカレードとファイアウオール
    4. 24 VPN サーバの設定
    5. 25 X Window System で動作する PKI マネージャ XCA による管理
    6. 26 sysctl 変数によるネットワークセキュリティの改善
  6. IV AppArmor による権限の制限
    1. 27 AppArmor の紹介
    2. 28 入門
    3. 29 プログラムに対する予防接種
    4. 30 プロファイルのコンポーネントと文法
    5. 31 AppArmor のプロファイルリポジトリ
    6. 32 YaST を利用したプロファイルの構築と管理
    7. 33 コマンドラインからのプロファイル構築
    8. 34 チェンジハット機能による Web アプリケーションのプロファイル作成
    9. 35 pam_apparmor によるユーザの制限
    10. 36 プロファイルを作成したアプリケーションの管理
    11. 37 サポート
    12. 38 AppArmor 用語集
  7. V SELinux
    1. 39 SELinux の設定
  8. VI Linux 監査フレームワーク
    1. 40 Understanding Linux audit
    2. 41 Linux 監査フレームワークの設定
    3. 42 監査ルールセットの紹介
    4. 43 その他の情報源
  9. A GNU ライセンス
ナビゲーション
適用先 openSUSE Leap 15.6

38 AppArmor 用語集 Edit source

抽象

下記の プロファイルファウンデーションクラス をお読みください。

Apache

Apache は無償で利用することのできる Unix ベースの Web サーバです。現時点では、インターネット内で最も使用されている Web サーバです。 Apache に関する詳細については、 Apache の Web サイト https://www.apache.org をご覧ください。

アプリケーションファイアウオール

AppArmor はアプリケーションを制限し、使用することのできる動作を制限するための仕組みです。不正なプログラムからの攻撃を防ぐため、たとえそれが信頼されているアプリケーションであっても、保護されているコンピュータ内で人手を介することなく権限を制限することができます。

攻撃シグネーチャ

ウイルスやクラッカーからの攻撃を表す、システムやネットワーク動作のパターンのことを指します。侵入検知システムでは、攻撃シグネーチャを利用して、正当な動作と不正な動作を識別し、不正な動作のみを防止するように作られています。

AppArmor では、このような攻撃シグネーチャに依存した仕組みにはなっていません。攻撃シグネーチャのような攻撃に対する "反応" として防御を発動するのではなく、 "先回り型" の防御を行っています。攻撃シグネーチャの場合、製品に対する攻撃方法が様々に考えられるため、様々な場合を想定しなければなりませんが、 AppArmor では脆弱性が存在する可能性も含めた "先回り" を行うため、よりよいセキュリティを実現することができます。

GUI

グラフィカルユーザインターフェイス (Graphical User Interface) の略です。コンピュータの利用者とアプリケーションとの間を取り持つ、直感的で使いやすいインターフェイスを意味します。ウインドウやアイコン、ボタンやカーソル、スクロールバーなどの要素が含まれます。

グロブ

ファイル名の代用として使用するもので、具体的なファイル名やパスを指定する代わりに、 * (/? などの特殊文字を除く、任意の長さかつ任意の文字の代用) や ? (任意の 1 文字) を使用して、複数のファイルやディレクトリをまとめて指定する方法です。なお、 ** は特殊なグロブで、指定したディレクトリ以下にある任意の階層内かつ任意のファイルやディレクトリの代用として使用します。

HIP

ホスト侵入防止 (Host Intrusion Prevention) の略です。オペレーティングシステムのカーネルと共に動作し、不正なアプリケーション動作を未知の攻撃手法として判断して、防止するための仕組みです。また、ネットワークレベルでは、ホスト宛の不正なパケットを防いで、目的のアプリケーションが 傷つく 前にブロックすることもできます。

強制アクセス制御

ユーザやファイル、その他のオブジェクトなどに対して割り当てられたセキュリティ属性に従って、オブジェクトに対するアクセスを制限する手法を指します。この制限は、ユーザやプログラムなどから変更することができないように作られていることから、これを 強制 と表しています。

プロファイル

AppArmor のプロファイルは、個別のアプリケーションがどのシステムリソースにアクセスし、どのような権限が必要となるのかを完全に定義するためのものです。

プロファイルファウンデーションクラス

DNS 参照やユーザ認証など、一般的なアプリケーション動作に必要な、プロファイルの構築ブロックを意味する用語です。

RPM

RPM パッケージマネージャ (RPM Package Manager) の略です。誰にでも使用することのできる、オープンなパッケージシステムです。 Red Hat Linux や openSUSE Leap のほか、様々な Linux および Unix システムで使用されています。コンピュータ内のソフトウエアパッケージのインストールやアンインストール、検証や問い合わせ、更新などを行うことができます。詳しくは https://rpm.org/ をお読みください。

SSH

Secure SHell の略です。リモートのコンピュータからテキストコマンドを受け付けることのできるサービスで、その通信を暗号化するのが特長です。

直感的なアクセス制御

AppArmor では、ネットワークサービスに対する直感的なアクセス制御の仕組みが提供されています。この仕組みでは、それぞれのプログラムが読み込んだり書き込んだり、実行したりすることを許すファイルのほか、どの種類のネットワークに接続できるのかを制御します。このような仕組みにより、それぞれのプログラムが期待通りの動作をするように強制することができます。

URI

統一資源識別子 (Universal Resource Identifier) の略です。 World Wide Web の世界において、特定の資源を表すための名前や場所を指し示すための一般的な用語です。なお、 URL は URI の一部として存在しています。

URL

統一資源位置指定子 (Uniform Resource Locator) の略です。 Web 上での文書やその他の資源を指し示す位置情報です。

位置情報の最初のパートは使用すべきプロトコルで、 2 番目にはリソースの存在する IP アドレスやドメイン名などが書かれます。

たとえば http://www.opensuse.org であれば、 URL の冒頭にあるとおり、使用するプロトコルは http であることがわかるようになっています。

脆弱性

攻撃を受けやすい状態のままになっているシステムやネットワークの要素を示す用語です。コンピュータシステムでは、それが正しく動作し続け、許可を与えていないユーザに対して制御を許さないようにする必要がありますが、設計面や管理面、実装面の弱さもしくは欠陥により、ハードウエアやファームウエア、ソフトウエアに対する不正な制御が許されてしまうことがあります。脆弱な箇所に対して攻撃が成功してしまうと、許可を与えていないユーザに対して制御を許し、情報を漏洩させたり重要な処理が中断されてしまったりすることがあります。

このページを印刷