LSM 구현에 대한 입문서를 읽고 있으므로 결국 AppArmor에는 SELinux.
알아요이 토론그러나 이것은 두 가지 LSM 구현에 대한 질문을 명확하게 설명하지 않습니다.
이것이 사실입니까?
- SELinux는 시스템 전체에 적용되어야 합니다(따라서
auto-relabeling첫 번째 부팅 프로세스에는 파일 시스템 검색만큼 많은 시간이 소요됩니다). - AppArmor는 원하는 프로세스/스크립트에 대해서만 정책을 정의할 수 있는 유연성을 제공합니다. - 대화형 검토 과정을 통해)
(?)
답변1
다른 질문에 답한 것처럼 AppArmor와 SELinux의 주요 차이점은 레이블입니다. AppArmor는 경로 기반인 반면 SELinux는 각 객체에 추가 태그를 추가합니다. 이것이 기본 파일 레이블을 적용하기 위해 처음 시작할 때 자동 레이블 재지정이 발생하는 이유입니다. 그렇지 않으면 모든 파일이 동일하게 처리되므로(동일한 레이블을 갖기 때문에) 파일 액세스에 대한 의미 있는 정책을 작성하는 것이 불가능합니다.
AppArmor와 SELinux는 모두 무제한 도메인을 가지며 프로세스를 제한하지 않습니다. 두 시스템 모두 정책 위반만 기록하고 정책을 시행하지는 않는 불만 모드(SELinux에서는 권한 도메인이라고 함)도 갖추고 있습니다. AppArmor와 SELinux는 모두 시스템 전체에서 활성화되며 두 시스템의 보안 모듈에 의해 제한되지 않는 프로세스를 실행할 수 있습니다.
자동 정책 생성 측면에서 두 시스템 모두 유사한 도구와 메커니즘을 가지고 있습니다.
AppArmor 구성 파일은 다음을 사용하여 생성할 수 있습니다.aa-genprof그리고aa-logprof. aa-genprof기본 프로필을 생성하고 불만 사항 모드로 설정하세요. 프로그램을 실행한 후 로그 파일에서 규칙을 생성할 수 있습니다.
SELinux 도구에는policygentool그리고audit2allow. 주요 차이점은 여전히 파일 태그이지만 policygentool프로그램 데이터(var), 구성 파일 및 로그 파일의 파일 형식은 자동으로 생성될 수 있습니다. 그런 다음 정책을 허용 모드로 로드하고 로그에서 규칙을 생성할 수 있습니다 audit2allow.