Компания Canonical повторила попытку интегрировать AppArmor в основное Linux ядро

Компания Canonical, продвигающая AppArmor  в Ubuntu, в роли более простого в настройке аналога системы определения политик безопасности SELinux, предприняла повторную попытку инициирования процесса интеграции AppArmor в основную ветку Linux ядра. Прошлая попытка была осуществлена в 2007 году компанией Novell, но привела лишь к критике со стороны некоторых авторитетных разработчиков Linux ядра.

Основные претензии сводились к недостаточной совместимости с интерфейсом LSM и излишней привязке к файловому пути вместо реализации через ассоциированные с объектом метки (как в SELinux). Разработчики из проекта Ubuntu учли высказанные ранее замечания и подготовили улучшенный вариант AppArmor, переработанный в плане использования стандартных LSM (Linux Security Modules) хуков (задействовали security_path вместо vfs), что повышает привлекательность патча для включения в основную ветку Linux ядра.

Изначально AppArmor представлял собой проприетарный продукт компании Immunix, которая была поглощена компанией Novell в 2005 году. Год спустя исходные тексты AppArmor были открыты компанией Novell под лицензией GPL и интегрированы в дистрибутив openSUSE. В 2007 году основатель проекта и команда разработчиков AppArmor покинула компанию Novell и развитие технологии почти остановилось. Novell сохранила в своих продуктах поддержку AppArmor, но интегрировала в дистрибутив и поддержку SELinux, позиционируя данную технологию как более перспективную.

Отказался от AppArmor и дистрибутив Mandriva, перешедший на использование интегрированного в Linux ядро 2.6.30 фреймворка TOMOYO. Единственным оплотом AppArmor остался проект Ubuntu, разработчики которого продолжают развивать технологию и, например, недавно добавили в парсер AppArmor поддержку кэширования правил, что позволило значительно ускорить процесс инициализации во время загрузки.

источник:  opennet.ru  | подробнее:  gmane.org

  • 1148