Linux访问控制
SELinux
mac访问控制
AppArmor
与selinux类似,号称使用更简单,但安全性下降。
概述
AppArmor是一种MAC技术,与Selinux类似,相对于Selinux
内核相关配置选项
CONFIG_SECURITY_APPARMOR=y
CONFIG_SECURITY_APPARMOR_BOOTPARAM_VALUE=1
CONFIG_SECURITY_APPARMOR_HASH=y
CONFIG_DEFAULT_SECURITY_APPARMOR=y
CONFIG_DEFAULT_SECURITY=”apparmor
对系统底噪的影响分析
经过测试,添加AppArmor后体积增加约28K。
与selinux对比
| 比较点 | AppArmor | SELinux |
|---|---|---|
| 访问控制 | 使用基于路径的安全配置文件。 | 使用基于文件标签的安全策略。 |
| 可用性 | 适用于任何发行版,但主要用于 SUSE 和 Ubuntu。 | 适用于任何发行版,但主要用于 RHEL/Fedora 系统。 |
| 学习困难 | 更短的学习曲线,更易于设置和管理。 | 更复杂,更不直观。 |
| 独立验证 | 可能的。 | 不可能。 |
| 需要复杂的配置 | 不。 | 是的。 |
| 多语言/多语言服务 | 不。 | 是的。 |
| 系统性能影响 | 无,但启动时间较长。 | 没有任何。 |
| 政策规则 | 缺乏灵活性。 | 灵活的。 |
| 控制水平 | 中等的。 | 高的。 |
参考资料:
https://phoenixnap.com/kb/apparmor-vs-selinux
tomoyo
是一种基于行为分析的MAC机制,它通过分析进程的行为来判断其是否具有访问某个资源的权限。TOMOYO Linux使用内核模块来实现,可以灵活地配置策略。
yama
针对ptrace的访问控制。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Helloeuler!