Jump to contentJump to page navigation: previous page [access key p]/next page [access key n]
コンテンツコンテンツ
セキュリティ強化ガイド
  1. 前書き
  2. 1 セキュリティと機密保持
  3. 2 コモンクライテリア (Common Criteria)
  4. I 認証
    1. 3 PAM を利用した認証
    2. 4 NIS の使用
    3. 5 YaST を利用した認証クライアントの設定
    4. 6 389 LDAP ディレクトリサービス
    5. 7 Kerberos を利用したネットワーク認証
    6. 8 Active Directory サポート
    7. 9 FreeRADIUS サーバの構築
  5. II ローカルセキュリティ
    1. 10 物理的なセキュリティ
    2. 11 seccheck を利用した自動的なセキュリティチェック
    3. 12 ソフトウエア管理
    4. 13 ファイルの管理
    5. 14 パーティションやファイルの暗号化
    6. 15 cryptctl を利用したアプリケーション向けのストレージ暗号化
    7. 16 ユーザ管理
    8. 17 Spectre/Meltdown チェッカー
    9. 18 YaST を利用したセキュリティの設定
    10. 19 PolKit による認可制御
    11. 20 Linux でのアクセス制御リスト
    12. 21 証明書ストア
    13. 22 AIDE を利用した侵入検知
  6. III ネットワークセキュリティ
    1. 23 X Window System と X 認証
    2. 24 SSH: 機密を保持するネットワーク操作
    3. 25 マスカレードとファイアウオール
    4. 26 VPN サーバの設定
    5. 27 X Window System で動作する PKI マネージャ XCA による管理
  7. IV AppArmor による権限の制限
    1. 28 AppArmor の紹介
    2. 29 入門
    3. 30 プログラムに対する予防接種
    4. 31 プロファイルのコンポーネントと文法
    5. 32 AppArmor のプロファイルリポジトリ
    6. 33 YaST を利用したプロファイルの構築と管理
    7. 34 コマンドラインからのプロファイル構築
    8. 35 チェンジハット機能による Web アプリケーションのプロファイル作成
    9. 36 pam_apparmor によるユーザの制限
    10. 37 プロファイルを作成したアプリケーションの管理
    11. 38 サポート
    12. 39 AppArmor 用語集
  8. V SELinux
    1. 40 SELinux の設定
  9. VI Linux 監査フレームワーク
    1. 41 Linux 監査システムの概要
    2. 42 Linux 監査フレームワークの設定
    3. 43 監査ルールセットの紹介
    4. 44 その他の情報源
  10. A GNU ライセンス
ナビゲーション
適用先 openSUSE Leap 15.2

28 AppArmor の紹介

信頼できる プログラムを実行していても、バグによって引き起こされる様々な脆弱性に直面します。信頼できるプログラムのうち、権限を利用して動作しているプログラムについては、攻撃者からも格好の標的となります。プログラム内に何らかのバグがあれば、攻撃者はそれを悪用して必要な権限を奪取しようとしますので、プログラムに対する信頼も損なわれることになります。

AppArmor® はアプリケーション側でのセキュリティソリューションで、特にプログラムに対して与えられた権限を制限することによって、システムの安全性を守る仕組みです。 AppArmor では、管理者がプログラムに対して プロファイル と呼ばれる動作許可範囲を作成して適用することができます。このプロファイルは、プログラムがアクセスする可能性のあるファイルや、プログラムが行う処理などを集めたもので、これによって不正な動作を防ぎ、未知の脆弱性に対して攻撃が加えられた場合であっても、その攻撃による影響を防いだり、軽減したりすることができます。

28.1 AppArmor のコンポーネント

AppArmor には下記のものが含まれています:

  • 一般的な Linux* アプリケーション向けの AppArmor プロファイルライブラリ。プログラム側からアクセスする必要のあるファイルを示しています。

  • DNS 参照やユーザ認証など、一般的なアプリケーション動作に必要な、 AppArmor プロファイルファウンデーションクラス (プロファイル構築ブロック) ライブラリ。

  • AppArmor のプロファイルを作成したり拡張したりする際に使用するツールスイート。これらのツールを使用することで、既存のツールを要件にあわせて調整したり、独自のアプリケーション向けに新しいプロファイルを作成したりすることができるようになります。

  • ユニークなサブプロセス制約として強化されたセキュリティを提供する、 AppArmor を有効化するために独自に修正されたプログラム類 (Apache など) 。

  • お使いの openSUSE® Leap システムで使用される AppArmor 関連のカーネルコード、および AppArmor ポリシーを強制するための関連する制御スクリプト類。

28.2 AppArmor プロファイリングに関する背景となる情報

AppArmor の科学的およびセキュリティの観点における詳しい情報については、下記の書籍をお読みください (いずれも英語です):

SubDomain: parsimonious server security (Crispin Cowan, Steve Beattie, Greg Kroah-Hartman, Calton Pu, Perry Wagle, Virgil Gligor 氏)

AppArmor 初期の設計と実装について説明しています。 2000 年 12 月にアメリカのルイジアナ州ニューオーリンズで行われた USENIX LISA Conference の議事録として発表されたものです。この文書は今となっては古くなっていて、現在の AppArmor 製品とは文法も機能も異なるものになっています。そのため、本文書は技術文書としてではなく、背景となる情報を知るための資料としてのみお使いください。

Defcon capture the flag: defending vulnerable code from intense attack (Crispin Cowan, Seth Arnold, Steve Beattie, Chris Wright, John Viega 氏)

非常に短い期間で深刻なセキュリティ問題を解決する必要がある場合、戦略的/戦術的に AppArmor の使用するのに適切なガイドです。 2003 年にアメリカのワシントン DC で行われた、 DARPA Information Survivability Conference and Expo (DISCEX III) の議事録として発表されたものです。

AppArmor for geeks (Seth Arnold 氏)

この文書には、 AppArmor の技術的な側面について、理解を深めるための説明が書かれています。 https://en.opensuse.org/SDB:AppArmor_geeks (英語) でも提供されています。

このページを印刷