Ottawa Linux Symposium3日目 AppArmor対SELinux
AppArmor 対 SELinux
http://opentechpress.jp/developer/06/07/27/0219220.shtml
AppArmorは学習モードで記録した動作内容を、YaSTからプロファイル作成ウィザードで簡単にポリシーがつくれるのがよかった。
AppArmorのシンプルさとロジックは、なぜそれまで話題にならなかったのかと不思議に思うくらい素晴らしいものだった。簡単に言うと、AppArmorはサービスおよびアプリケーションへのアクセスを、特定のルート権限などの権限と、AppArmorの役割を果たすために必要なファイルだけに制限するセキュリティツールである。
AppArmorのプロファイル作成ウィザードのスクリーンショット
http://www.novell.com/linux/security/apparmor/screenshots.html
また、保護対象プログラムによるタスク実行の監視によって明示的に指示しなくてもそれらが何かを学習でき、それぞれの動作をログに出力することができる。コワン氏は簡単なデモを行って、どうすればApacheをわずか2分でAppArmorに結合できるかを示した。また、サンプルWebページのルートホールの攻撃に必要なリソースの利用を許さないことによって、セキュリティ上の弱点を回避していた。
果たして、この対策を打ち破る方法があるだろうか。
でも、対決して潰しあわなくても共存できると思うのになあ。
開発のコンセプトが違うんだし。