Žádný systém není dokonale bezpečný, jsou pouze systémy více bezpečné a méně bezpečné. Linux je obvykle považován za systém, který spadá do první z obou kategorií, ale bezpečnosti není nikdy dost. Proto se firma Novell rozhodla vytvořit a dát k dispozici produkt, který má tento systém ještě více ochránit.
AppArmor
Celá technologie je postavena na řešení společnosti s příznačným názvem Immunix, kterou Novell koupil v květnu loňského roku. Pod názvem AppArmor byl spuštěn open-source projekt pod GPL licencí, který má na základě této technologie zvýšit bezpečnost aplikací v Linuxu. Jedná se o systém detekce a prevence možných útoků virů a jiného malware, ale i vnějších útoků. AppArmor již funguje v "komerčních" distribucích Linuxu od Novellu, nyní bude jeho jádro dáno k dispozici pod GPL licencí.
Jak to funguje
Systém funguje velmi jednoduše tak, že kontroluje činnosti aplikací a uživatelů. Veškerá činnost, kterou uživatel provádí, veškerá interakce mezi ním a aplikacemi (systémem), je monitorována a jsou detekována možná bezpečnostní ohrožení. Jak řekl Al Gillen, šéf výzkumu IDC pro systémový software, byl tento způsob shledán tím nejlepším pro ochranu aplikací.
Způsob tohoto monitorování je definován bezpečnostní politikou. Komerční verze AppArmor (momentálně součást SUSE Linuxu 10 a Suse Linux Enterprise Server 9 Service Pack 3) je dodávána s předpřipravenými nastaveními pro serverové aplikace jako je webový server Apache, Postfix, Sendmail, MySQL DBMS a souborový a tiskový server Samba.
Administrátoři zjednodušeně řečeno vytvoří profily oprávnění pro aplikace či skupiny aplikací a i v případě, že se útočník takové aplikace vlivem chyby "zmocní", bude mít velmi stíženou pozici pro kompromitaci celého systému. Administrátor může dokonce konkrétně určit, které soubory může aplikace používat. Tento mechanismus ochrání i aplikace, které běží s administrátorskými právy.
Jak tvrdí Novell, AppArmor ochrání kritická data na Linuxu a co je důležité, tato ochrana je velmi snadno aplikovatelná a navíc je schopna ochránit i před dosud nezveřejněnými chybami, které nejsou záplatovány. Sníží se tak nápor na IT zaměstnance, resp. bezpečnost systému již nebude tak závislá na jejich práci a pravidelném záplatování.
Vzhledem k jednoduchosti, s jakou bude možné tento systém nasadit a provozovat, očekává Novell jeho velmi rychlé rozšíření, na rozdíl od jiných podobných systémů, které jsou často raději vypínány.
Open source
Základní komponenty systému jsou nyní volně dostupné a Novell rozjel open-source projekt pro další vylepšování a vývoj tohoto systému. Systém bude již brzy zahrnut do distribuce OpenSUSE (více informací zde), konkrétně by to mělo být 19. ledna, komunita vývojářů je pak soustředěna zde.
Jak řekl výkonný viceprezident Novellu, Jeff Jaffe, uvolněním kódu v rámci open-source může vývojářská komunita i partneři Novellu jednak kontrolovat tuto bezpečnostní technologii a samozřejmě ji také vylepšovat.
Konkurence
AppArmor pochopitelně není první a jediný takový bezpečnostní systém. Velmi známý je kupříkladu SELinux. Jak tvrdí Novell, AppArmor je však daleko snazší používat. Vytváření bezpečnostní politiky je proces převážně automatizovaný a konfigurace se provádí pomocí nástroje Yast.
Co se výkonu týče, každá bezpečnostní vrstva navíc (ať už se jedná o antivir či jiné prvky) si vezme nějaký ten výkon pro sebe a sníží odezvu celého systému. Ani AppArmor není výjimkou, ale podle tvrzení Novellu se ztráta výkonu pohybuje mezi 0 až 2 procenty, zatímco SELinux dosahuje hodnoty 7 procent.
Zdroje: Novell [1, 2], OpenSUSE, News.com
