AppArmor

此條目め包含ほうがん過多かた行くだり話ばなし或ある專業せんぎょう術語じゅつご，可能かのう需要じゅよう簡化或ある提出ていしゅつ進しん一いち步ほ解釋かいしゃく。 (2018年ねん2月がつ3日にち) 請在討論とうろん頁ぺーじ中ちゅう發表はっぴょう對たい於本議題ぎだい的てき看み法ほう，並なみ移うつり除じょ或ある解釋かいしゃく本ほん條目じょうもく中ちゅう的てき行ぎょう話ばなし。

AppArmor

原作げんさく者しゃ	Immunix（英語えいご：Immunix）
開發かいはつ者しゃ	Canonical Ltd, SUSE ➝ Novell
首くび次じ釋しゃく出いずる	1998年ねん，​26年ねん前まえ​（1998）
目前もくぜん版本はんぽん	3.1.7 (2024年ねん2月がつ2日にち；穩定版本はんぽん)[1]
原始げんし碼庫	gitlab.com/apparmor/apparmor
程ほど式しき語ご言げん	C, Perl, C++, sh
作業さぎょう系統けいとう	Linux
類型るいけい	安全あんぜん
授權條じょう款	GNU通用つうよう公こう眾授權けん條じょう款
網あみ站	gitlab.com/apparmor

AppArmor （「Application Armor」，意い為ため「應用おうよう盔甲」） 是ぜ一いち個こLinux核心かくしん安全あんぜん模も組ぐみ，允許いんきょ系統けいとう管理かんり員いん通過つうか每ごと個こ程ほど式しき的てき設定せってい檔限制せい程ほど式しき的てき功こう能のう。如它的てき幫助頁ぺーじ面めん所說しょせつ，「AppArmor 是ぜ一いち個こ對たい核心かくしん的てき增強ぞうきょう工具こうぐ，將はた程ほど式しき限げん制せい在ざい一いち個こ有限ゆうげん的てき資源しげん集合しゅうごう中ちゅう。AppArmor 獨特どくとく的てき安全あんぜん模型もけい將しょう對たい訪問ほうもん屬性ぞくせい的てき控ひかえ制せい繫結到いた程ほど式しき而非使用しよう者しゃ。」^[2]

AppArmor 通過つうか提供ていきょう強制きょうせい訪問ほうもん控ひかえ制せい（MAC）來らい補充ほじゅう傳統でんとう的てきUnix自主じしゅ訪問ほうもん控ひかえ制せい（DAC）模型もけい。 從したがえLinux核心かくしん的てき2.6.36版本はんぽん開始かいし，它已經けい被ひ包含ほうがん在ざい主流しゅりゅう分ぶん支ささえ中ちゅう，並なみ且自2009年ねん它的開發かいはつ得え到いた了りょう Canonical 公司こうし的てき支援しえん。^[3][4]

AppArmor 對たい相關そうかん程ほど式しき的てき約束やくそく與あずか控ひかえ制せい通過つうか apparmor_parser 載の入にゅう到いた核心かくしん的てき設定せってい檔來提供ていきょう，這一般いっぱん通過つうか /etc/init.d/apparmor 中ちゅう的てき SysV initscript ，如：

# /etc/init.d/apparmor start
# /etc/init.d/apparmor stop
# /etc/init.d/apparmor restart

AppArmor可か以以兩りょう種たね模も式しき執行しっこう：執行しっこう（enforcement）模も式しき或ある學習がくしゅう（complain/learning）模も式しき：

• 執行しっこう模も式しき - 載の入いれ的てき設定せってい檔中定義ていぎ的てき策略さくりゃく將しょう會かい被ひ執行しっこう，並なみ且會向こう syslogd 報告ほうこく違たがえ規ぶんまわし嘗試。
• 學習がくしゅう - 以「學習がくしゅう」模も式しき載の入いれ的てき設定せってい檔不會かい執行しっこう策略さくりゃく。 它僅僅會報告ほうこく違反いはん策略さくりゃく的てき嘗試。這種模も式しき對たい於開發かいはつ設定せってい檔很方便ほうべん。利用りよう這種模も式しき可か以根據こんきょ各個かっこ程ほど式しき針はり對たい性せい地ち生成せいせい設定せってい檔。

AppArmor 是ぜ使用しようLinux安全あんぜん模も組ぐみ（LSM）核心かくしん介かい面めん實現じつげん的てき。^[5] 在ざい2009年ねん，Linux 2.6.30 中ちゅう包含ほうがん了りょう一いち個こ名めい為ため Tomoyo（英語えいご：Tomoyo） 的てき新しん解決かいけつ方案ほうあん^[6]；像ぞう AppArmor 一いち樣よう，它也使用しよう基もと於路徑みち的てき訪問ほうもん控ひかえ制せい。

AppArmor 是ぜ作為さくい SELinux 的てき替がえ代品だいひん出現しゅつげん的てき，因いん為ため對たい SELinux 的てき批評ひひょう者しゃ認みとめ為ため它難以讓管理かんり員いん設定せってい和わ維護。^[7]與あずか基もと於將標しるべ籤くじ應用おうよう於檔案あん的てき SELinux 不同ふどう，AppArmor 使用しよう檔案路ろ徑みち來らい確認かくにん檔案。 AppArmor 的てき支持しじ者しゃ聲ごえ稱たたえ，它對普通ふつう使用しよう者しゃ而言要よう比ひ SELinux 更さら簡單かんたん、更さら易えき學習がくしゅう。^[8][9] 他た們還認みとめ為ため AppArmor 對たい現有げんゆう系統けいとう的てき要求ようきゅう更さら低てい：例れい如 SELinux 需要じゅよう支援しえん「安全あんぜん標しるべ籤くじ」的てき檔案系統けいとう^[10]，因いん此無法ほう為ため通過つうか NFS 掛かけ載の的てき檔案提供ていきょう訪問ほうもん控ひかえ制せい。 AppArmor 則そく對たい檔案系統けいとう沒ぼつ有ゆう要求ようきゅう。

但ただし不ふ論ろん如何いか，這兩個りゃんこ軟體產品さんぴん對たい讓ゆずる管理かんり員いん加か強きょう系統的けいとうてき安全あんぜん性せい都と非常ひじょう有ゆう幫助。他た們都專せん注ちゅう於訪問ほうもん控ひかえ制せい，強化きょうか了りょう標準ひょうじゅん的てきLinux訪問ほうもん控ひかえ制せい策略さくりゃく。他た們都生成せいせい紀き錄ろく檔，並なみ提供ていきょう審しん計けい活動かつどう的てき工具こうぐ。他た們都在ざい應用おうよう程ほど式しき層そう內工作こうさく。從したがえ技術ぎじゅつ上うえ講こう，他た們同樣どうよう地ち使用しようLSM與あずかLinux核心かくしん進行しんこう互動。它們允許いんきょ管理かんり員いん使用しようGUI與あずか非ひGUI工具こうぐ。最後さいご，它們都と允許いんきょ管理かんり員いん在ざい沒ぼつ有ゆう真正しんせい阻止そし訪問ほうもん的てき情況じょうきょう下か嘗試策略さくりゃく（而只是ぜ警告けいこく），以便僅在足あし夠數量的りょうてき測はか試ためし之の後こう才ざい應用おうよう安全あんぜん加か固かた策略さくりゃく。^[11]

SELinux 和わ AppArmor 的てき不同ふどう主要しゅよう體現たいげん在ざい管理かんり方式ほうしき和わ整合せいごう方式ほうしき上じょう。例れい如一いち個こ重要じゅうよう的てき區別くべつ： SELinux 通過つうか inode 編へん號ごう而不是ぜ路ろ徑みち標識ひょうしき檔案系統けいとう對象たいしょう。^[12]這意味あじ著ちょ如果給きゅう一個無法訪問的檔案建立了硬かた連結れんけつ，在ざい AppArmor 中ちゅう它將可か以訪問ほうもん，但ただし SELinux 通過つうか新しん建立こんりゅう的てき硬かた連結れんけつ仍然會かい拒絕きょぜつ訪問ほうもん——由よし inode 參照さんしょう的てき基礎きそ資料しりょう是ぜ一いち樣よう的てき。另外，在ざい文ぶん件數けんすう量りょう上じょう AppArmor 要よう比ひ SELinux 略りゃく遜へりくだ一籌いっちゅう，這意味あじ著ちょ網もう上じょう尋ひろ找解決かいけつ方案ほうあん的てき難易なんい程度ていど同樣どうよう有ゆう所しょ差異さい。^[11]

AppArmor 在ざい1998~2003年ねん首くび先さき在ざい Immunix（英語えいご：Immunix） Linux中ちゅう被ひ使用しよう。當時とうじ，AppArmor被ひ稱しょう為ためSubDomain，^[13][14]這個名字みょうじ意い在ざい將しょう特定とくてい程ほど式しき的てき安全あんぜん設定せってい檔分割ぶんかつ成なり不同ふどう的てき域いき，而程式しき可か以動態どうたい地ち在ざい不同ふどう的てき域いき中ちゅう進行しんこう切せつ換かわ。 AppArmor 首くび先さき在ざい SLES 和わ openSUSE 中ちゅう可用かよう，並なみ且在 SLES（英語えいご：SUSE_Linux_Enterprise） 10 和わ openSUSE 10.1 中ちゅう預あずか設しつらえ首くび先さき啟けい用よう。

2005年ねん5月がつ，Novell 收おさむ購了 Immunix 並なみ將はた SubDomain 重おも新しん命名めいめい為ため AppArmor，並なみ開始かいし對たい其 Linux 核心かくしん進行しんこう代だい碼清理り和重かずえ寫うつし。^[15]從したがえ2005年ねん到いた2007年ねん9月がつ，AppArmor 由ゆかり Novell 維護。從したがえ那な時じ起おこり，SUSE 就是商標しょうひょう名めい AppArmor 的てき合法ごうほう所有しょゆう者しゃ。^[16]

AppArmor 在ざい2007年ねん4月がつ第だい一次成功移植並打包於 Ubuntu。它成為ためUbuntu 7.10版本はんぽん的てき預あずか設しつらえ軟體套件，並なみ最終さいしゅう作為さくいUbuntu 8.04發行はっこう版ばん的てき一いち部分ぶぶん，預あずか設しつらえ設定せってい只ただ保護ほご CUPS。從したがえ Ubuntu 9.04 開始かいし，更さら多た的てき專せん案あん（如MySQL）已やめ經けい安あん裝そう了りょう設定せってい檔。在ざい Ubuntu 9.10 中ちゅう，AppArmor 的てき功こう能のう不斷ふだん得え到いた改あらため進すすむ，因いん為ため它提供ていきょう了りょう客きゃく戶ど對談たいだん、libvirt 虛きょ擬なずらえ機器きき、Evince文ぶん件けん檢視けんし器き的てき設定せってい檔。它還提供ていきょう了りょう一いち個こ可か選せん的てき Firefox 的てき設定せってい檔。^[17]

AppArmor 第だい一いち次じ被ひ整合せいごう到いた Linux 核かく心中しんちゅうの是ぜ在ざい2010年ねん10月がつ的てき2.6.36版本はんぽん。^{[18][19][20][21]}

2014年ねん，AppArmor 已やめ經けい整合せいごう到いた了りょう Synology 的てき DSM 5.1 Beta中ちゅう。^[22]

• LIDS
• Systrace（英語えいご：Systrace）
• Grsecurity（英語えいご：Grsecurity）

• AppArmor Wiki （存そん檔）
• AppArmor openSUSE 百科ひゃっか中ちゅう的てき一いち些評論ろん （英文えいぶん）
• LKML thread（頁ぺーじ面めん存そん檔備份，存そん於網あみ際ぎわ網もう路ろ檔案館かん） 包含ほうがん一いち些對 AppArmor 的てき評論ひょうろん和わ評價ひょうか （英文えいぶん）
• Ubuntu 百科ひゃっか中ちゅう相關そうかん條目じょうもく（頁ぺーじ面めん存そん檔備份，存そん於網あみ際ぎわ網もう路ろ檔案館かん） （英文えいぶん）
• Arch Linux 百科ひゃっか中ちゅう相關そうかん條目じょうもく（頁ぺーじ面めん存そん檔備份，存そん於網あみ際ぎわ網もう路ろ檔案館かん） （英文えいぶん）
• Counterpoint:（頁ぺーじ面めん存そん檔備份，存そん於網あみ際ぎわ網もう路ろ檔案館かん） 原はら標題ひょうだい：Novell and Red Hat security experts face off on AppArmor and SELinux （英文えいぶん）
• AppArmor Application Security for Linux（頁ぺーじ面めん存そん檔備份，存そん於網あみ際ぎわ網もう路ろ檔案館かん） （英文えいぶん）