3月に開催されたNovell BrainShareの参加レポート記事から
AppArmorとSELinuxについての内容

南関東最速！
Novell BrainShareレポート'06 Salt Lake
http://h50146.www5.hp.com/products/software/oe/linux/mainstream/support/may/bshare06/index.html

Novellの言うAppArmorのSELinuxより優れている点は3つあるそう。

SLES10のもう一つの機能的な売りは AppArmorです。これは kernelレベルでのセキュリティ対策機能でアプリケーションを隔離すると云うものです。AppArmorは Novell主導で開発が行われているものです。一言で云うと SELinuxの対抗版です。SELinuxとの違いは
1. 設定が簡単
2. 軽い
3. 全てのユーザ・アプリが回避不可能
との事です。

うんうん、もっとAppArmorを前面にしてほしいな。

AppArmorの詳細は本ページの後半で別途記しますが、SLES10を売るなら AppArmorを前面に出して RHELに対抗すべきなのではないかと思われます。今この業界は Xen一色ですが、しばらくすれば全てのディストリが対応してくる事を考えれば SLES10が YaSTで簡単に設定できる事を謳ってもその優位性は小さいのではないでしょうか。それよりも AppArmorでセキュリティ面での優位・簡便性を訴えるなら SELinux上で簡単に使えそうな 設定ツールがちょっと見当たらない現状を考えれば、ちょっと残念です。

おおっこんなポリシー自動作成機能もあったのか。

SIerの中でも SELinuxをサービスに含めていないところもあるでしょう。生半可な知識では利用できないと云うのが私の SELinuxの感想です。AppArmorはメニュー形式での設定が可能なモードの他に、実際に利用するアプリケーションを稼動させ、そのプロセスが利用する状況をスキャンして自動で設定を行わせる設定方法も用意されています。

SELinuxがOFFにされちゃう問題点ですね。でも、ポリシー作成はSELinuxに限らずどのセキュアOS、トラステッドOSも簡単ではないかな。（TOMOYO Linuxは除くだな）
TrustedSolarisやPitBull、韓国モノのような有名どころもなかなか難しいッスよ。
テンプレートはSELinuxがいちばん充実してたりするし。

全てのユーザ・アプリが回避不可能ですが、Novellは例として Oracleが SELinuxを回避しているのを挙げていました。それに対して AppArmorは Oracleと kernelの間にしっかり割り込んでいると云う図がプレゼンで示されていました。
テンプレートが無い複雑なアプリケーションでは実質 SELinuxを迂回させるしかない…と云う程度の意味なのかと想像しています。

seeditやBrickwallに期待しちゃいます。

やはりデモを見せつけられると「既存のディストリは全て unsecureなのか」と思わざるを得なくなりました(かなり洗脳されてます)。SELinuxでもアプリケーションの状況をログ出力する機能がありますので、それをもとにテンプレートを作成する事はできるでしょうが、それが果たして簡単かと云うとかなり疑問です。Red Hatが EL5で SELinuxを簡便にするツールを出してくるのか見ものです。もし出てこなければセキュリティ関連に於いては Novellの後塵を拝するのではないでしょうか。

それにしてもBrainShareってこんなに派手で豪華ですごいね。
行きたくなってきた。しかも、ソルトレイクなんてオリンピックコースでスキーもできちゃうし。

NovellのBrainShareのオフィシャルサイトは↓
http://www.novell.com/brainshare/

追記ネタ

ノベル、企業向けLinuxの最新版「SUSE Linux Enterprise 10」を発表
http://japan.zdnet.com/news/os/story/0,2000056192,20175047,00.htm

レポート作成機能はあったほうがいいね。

セキュリティ機能として「Novell AppArmor 2.0」が搭載されており、アプリケーションに手を加えることなく、容易な操作でファイアウォール設定を行えるという。最新版では、内部統制を支援する監査機能とレポート作成機能が強化された。