米Novellは1月10日(現地時間),オープンソースのセキュアOSプロジェクト「AppArmor」を開始したと発表した。Linuxカーネル・パッチとして提供され,呼ぶセキュリティ・ポリシーによりアクセス・コントロールを行い,許可されないアクセスを禁止する。Novellが買収したImmunixの技術をベースとしている。
AppArmorは,セキュリティ・モジュールAPIであるLinux Security Modules(LSM)APIに準拠する。LSMはImmunixの技術者が中心になり開発したAPIで,カーネル2.6に取り込まれている。SELinuxコミュニティや米IBMもLSMに準拠したセキュリティ・モジュールを開発している。
また,AppArmorは「学習モード」を備えるという。学習モードでは,アプリケーションを動作させ,その挙動から正常なアクセスを記録する。学習モードを備えるセキュアOSとしては,NTTデータもTOMOYO Linuxを開発,公開している(関連記事)
AppArmorはOpenSUSE Projectのサブプロジェクトとして開発が進められており,SUSE Linuxに組み込まれる。
AppArmorのポリシー例(ntpdの場合) /usr/sbin/ntpd { #include#include #include capability ipc_lock, capability net_bind_service, capability sys_time, capability sys_chroot, capability setuid, /etc/ntp.conf r, /etc/ntp/drift* rwl, /etc/ntp/keys r, /etc/ntp/step-tickers r, /tmp/ntp* rwl, /usr/sbin/ntpd rix, /var/log/ntp w, /var/log/ntp.log w, /var/run/ntpd.pid w, /var/lib/ntp/drift rwl, /var/lib/ntp/drift.TEMP rwl, /var/lib/ntp/var/run/ntp/ntpd.pid w, /var/lib/ntp/drift/ntp.drift r, /drift/ntp.drift.TEMP rwl, /drift/ntp.drift rwl, }
【訂正】
掲載当初「10月10日発表した」としておりましたが誤りで,正しくは「1月10日」です。お詫びして訂正します。