Címlap

Új próbálkozás az AppArmor mainline kernelbe olvasztására

 ( trey | 2010. február 23., kedd - 15:18 )

John Johansen, az Ubuntu mögött álló Canonical egyik fejlesztője beküldte áttekintésre az AppArmor biztonsági keretrendszer egy átdolgozott kiadását a Linux kernel fejlesztőihez. Johansen leírta, hogy csakúgy mint a már a kernel részét képező SELinux és a Tomoyo megoldások, az AppArmor újabb verziója is a Linux Security Modules-t (LSM) használja.

Az immár negyedik verzióban beküldött AppArmor-ban néhány korábban kritizált problémát kijavítottak, de még így is talált a VFS karbantartója - Al Viro - hibákat, magyarázatra szoruló dolgokat a munkában.

Az AppArmor-t eredetileg fejlesztő céget, az Immunix-et a Novell vásárolta meg még 2005-ben. 2006-ban aztán GPL alá helyezte kódot, majd 2007 őszén szélnek eresztette a fejlesztőket. Az AppArmor a Novell fejlesztők többszöri próbálkozása ellenére sem került beolvasztásra a mainline kernelbe, mert a fejlesztők nem fogadták el a keretrendszer egyes megoldásait.

Most, hogy a dolgok elcsendesedtek az AppArmor körül és a Novell újabban a SELinux-szal kísérletezik, a Canonical felvette a fonalat és megpróbálja a technológiát benyomni a fő kernelfába. Johansen megemlíti levele végén, hogy a kód már nem a Novell Forge-on, hanem a kernel.org-on és a Launchpad-en található.

A részletek itt.

 »
  • A hozzászóláshoz belépés szükséges
  • 2060 olvasás

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.
 ( sixtyhz | 2010. február 23., kedd - 15:30 )

nemtudom miért kell nyomatni apparmort ubuntunak. ez az erőszakos kisérletek a kernelbe olvasztásért. pár év és üdvözölhetjük a linuxok windowsát :D

----------------------------------
Fedora 12 x86_64
Freedom. Friends. Features. First.
http://snicore.blogspot.com

 ( log69 | 2010. február 23., kedd - 17:18 )

mi a bajod az apparmor-ral?

 ( sixtyhz | 2010. február 23., kedd - 17:20 )

apparmor-ral semmi, csak nem kéne erőltetni ami nemmegy.

----------------------------------
Fedora 12 x86_64
Freedom. Friends. Features. First.
http://snicore.blogspot.com

 ( honorshark | 2010. február 23., kedd - 18:15 )

Hja. Uj grafikus feluletet/rendszert linuxra! :) Hatha majd az jobban megy.

 ( dikki | 2010. február 23., kedd - 20:33 )

attól, hogy valamit Linus puszipajtásai fejlesztenek, és emiatt nem kerül be a mainline-ba, még nem feltétlenül kell kidobni valamit, amiben a) sok-sok munka van b) még működik is.

 ( willy | 2010. február 23., kedd - 20:59 )

Hogymivan?

 ( prygme | 2010. február 23., kedd - 23:36 )

szerintem kifelejtett egy NEM szót. "attól, hogy valamit NEM Linus puszipajtásai fejlesztenek, és emiatt nem kerül be a mainline-ba..."
feltehetően így értette, legalábbis így lenne értelme a mondatnak:)

 ( Jason | 2010. február 24., szerda - 8:25 )

+1

--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.

 ( kkemenczy | 2010. február 23., kedd - 17:35 )

kis színes hírhez:
* Anno én sem értettem az AppArmor fejlesztők elbocsátását, de mint később kiderült az egyik ok, a nem linux kernel konformra váltás volt. A Novell szerette volna betenni a kernelbe, de az akkori fejlesztési vezető más fejlesztési irányt szeretett volna, így ez nem ment a Novell berkein belül.

* Már az eredeti cikkben sem értettem ezt a mondatot: "és a Novell újabban a SELinux-szal kísérletezik". De cikk írója itt talán arra gondolt, hogy az SLE11 támogatja az SELinuxot is, de az AppArmor továbbra is a default.

* "a kód már nem a Novell Forge-on" - mivel a novell forge bezárt (decemberben) és ezt egy éve bejelentették (hír nem volt róla), megkérték a karbantartókat, hogy legyen máshol a fejlesztés, mert nem látják sok értelmét az infrastruktúrát üzemben tartani

 ( PaXTeam | 2010. február 23., kedd - 20:26 )

par kerdes:

> a nem linux kernel konformra váltás volt.

ez mit jelent?

> az akkori fejlesztési vezető más fejlesztési irányt szeretett volna

ki volt az es mit szeretett volna?

 ( kkemenczy | 2010. február 23., kedd - 20:47 )

par kerdes:

>> a nem linux kernel konformra váltás volt.
>
> ez mit jelent?

Nem tudták a kernelbe olvasztani

>> az akkori fejlesztési vezető más fejlesztési irányt szeretett volna
>
>ki volt az es mit szeretett volna?

Crispin Cowan... ha jól emlékszem management rendszerek felé történő integráció és profilozás továbbfejlesztése lett volna (de még az is lehet, hogy rosszul emlékszem), most a Microsoftnál csinálja ugyanezt.

 ( siposa | 2010. február 23., kedd - 19:25 )

Ha jól tudom, az AppArmor egyszerűbben konfigurálható mint a SELinux (pl. nincs label, csak path), szóval desktopra valószínűleg jobb választás, a felhasználó könnyebben átlátja a működését.

 ( gd | 2010. február 23., kedd - 19:41 )

Ettől még nem úgy van megcsinálva, hogy kényelmes legyen desktopra használni. Ahhoz sokkal rugalmasabbnak kéne lennie.

 ( mhmxs | 2010. február 24., szerda - 10:12 )

Épp ezt akartam írni, azért nem olyan konfigurálni a cuccot, amit egy desktop user szívesen csinál, főleg minden feltelepített app után. Sokkal inkább szerver környezetben elképzelhető az, hogy felrakok egy alkalmazást, hosszas (előre eltervezett) tesztelési folyamat útján készítek egy profilt ami alapján éles üzemben menni fog a dolog anélkül, hogy olyan erőforrást nem engedélyeznék, amire éles üzemben szükség lehet. A desktop felhasználás nem olyan homogén, mint a szerver, folyton változnak a konfigok, az alkalmazások, sajnos az apparmort nem erre a rugalmasságra találták ki szerintem.
________________
java'nother blog