アプリアーマー
アプリアーマー
原作者	イミュニックス
開発者	当初はImmunix (1998 ～ 2005 年)、その後Novell傘下のSUSE (2005 ～ 2009 年)、現在はCanonical Ltd (2009 年以降) が担当しています。
初回リリース	1998年; 27年前
安定版リリース	4.1.2 / 2025年9月12日; 2か月前
リポジトリ	gitlab.com / apparmor
書かれた	C、Python、C++、sh
オペレーティング·システム	リナックス
タイプ	セキュリティ、Linux セキュリティモジュール(LSM)
ライセンス	GNU一般公衆利用許諾契約書
Webサイト	アパーマー.net

AppArmor（「Application Armor」）は、システム管理者がプログラムごとのプロファイルを使用してプログラムの機能を制限できるLinuxカーネルセキュリティモジュールです。プロファイルでは、ネットワークアクセス、rawソケットアクセス、一致するパス上のファイルの読み取り、書き込み、実行などの権限を許可できます。AppArmorは、従来のUnixの任意アクセス制御（DAC）モデルを補完し、強制アクセス制御（MAC）を提供します。バージョン2.6.36以降、メインラインLinuxカーネルに部分的に組み込まれており、 2009年からCanonicalによって開発がサポートされています。

詳細

AppArmorには、手動でプロファイルを作成するだけでなく、学習モードも搭載されています。学習モードでは、プロファイル違反はログに記録されますが、違反を未然に防ぐことはできません。このログは、プログラムの典型的な動作に基づいてAppArmorプロファイルを生成するために使用できます。

AppArmor は、Linux セキュリティモジュール(LSM) カーネルインターフェイスを使用して実装されます。

AppArmorは、管理者にとって設定と保守が難しいと批判されているSELinuxの代替として提供されている。 ^{[ 3 ]}ファイルにラベルを付けるSELinuxとは異なり、AppArmorはファイルパスを操作します。AppArmorの支持者は、SELinuxよりも複雑ではなく、平均的なユーザーにとって習得しやすいと主張しています。^{[ 4 ]}彼らはまた、AppArmorは既存のシステムで動作するために必要な変更が少ないと主張しています。^[要出典]たとえば、SELinuxは「セキュリティラベル」をサポートするファイルシステムを必要とするため、NFS経由でマウントされたファイルへのアクセス制御を提供できません。AppArmorはファイルシステムに依存しません。

その他のシステム

AppArmor は、インストールされたソフトウェアが実行できるアクションを制限する問題に対するいくつかの可能なアプローチの 1 つです。

SELinuxシステムは、一般的にAppArmorと同様のアプローチを採用しています。重要な違いが1つあります。SELinuxはファイルシステムオブジェクトをパスではなくinode番号で識別します。AppArmorでは、アクセスできないファイルへのハードリンクが作成されると、そのファイルにアクセスできるようになる可能性があります。この違いは以前ほど重要ではなくなっているかもしれません。Ubuntu 10.10以降では、他のディストリビューションでも使用されているYamaと呼ばれるセキュリティモジュールによってこの問題が緩和されているからです。^{[ 5 ]} SELinuxのinodeベースモデルは、ハードリンクがアクセスできないinodeを指しているため、新しく作成されたハードリンクを介したアクセスを本質的に拒否してきました。

SELinux と AppArmor は、管理方法やシステムへの統合方法も大きく異なります。

プロセスの分離は、仮想化などのメカニズムによっても実現できます。たとえば、One Laptop per Child (OLPC) プロジェクトでは、軽量の Vserverで個々のアプリケーションをサンドボックス化します。

2007 年に、Simplified Mandatory Access Control Kernel が導入されました。

2009 年には、 Tomoyoと呼ばれる新しいソリューションがLinux 2.6.30 に組み込まれました。AppArmor と同様に、これもパスベースのアクセス制御を使用します。

可用性

AppArmorは、1998年から2003年にかけてImmunix Linuxで初めて使用されました。当時、AppArmorはSubDomain ^{[ 6 ]}^{[ 7 ]}と呼ばれていました。これは、特定のプログラムのセキュリティプロファイルを複数のドメインに分割し、プログラムがそれらを動的に切り替えることができる機能を指していました。AppArmorはSLESとopenSUSEで初めて利用可能になり、SLES 10とopenSUSE 10.1で初めてデフォルトで有効化されました。

2005年5月、Novellは Immunixを買収し、SubDomainをAppArmorとしてリブランドし、 Linuxカーネルへの組み込みに向けてコードのクリーンアップと書き換えを開始しました。 ^{[ 8 ]} 2005年から2007年9月まで、AppArmorはNovellによって保守されていました。NovellはSUSEに買収され、現在AppArmorという商標の法的所有者となっています。^{[ 9 ]} openSUSE Tumbleweedは2025年2月11日以降、新規インストールでAppArmorからSELinuxに移行し、openSUSE Leap 16もデフォルトでSELinuxに切り替わりました。^{[ 10 ]} AppArmorは、希望するユーザーのためにインストール時に選択できます。^{[ 11 ]}

AppArmorは2007年4月に初めてUbuntuへの移植/パッケージ化に成功しました。AppArmorはUbuntu 7.10以降、デフォルトパッケージとなり、Ubuntu 8.04リリースの一部として提供されましたが、デフォルトではCUPSのみを保護していました。Ubuntu 9.04以降では、MySQLなどのより多くの項目にプロファイルがインストールされています。AppArmorの強化はUbuntu 9.10でも継続され、ゲストセッション、libvirt仮想マシン、Evinceドキュメントビューア、そしてオプションのFirefoxプロファイル用のプロファイルが同梱されています。^{[ 12 ]}

AppArmorは2010年10月の2.6.36カーネルリリースに統合されました。^{[ 13 ]}^{[ 14 ]}^{[ 15 ]}^{[ 16 ]}

AppArmorは2014年の5.1ベータ版からSynologyのDSMに統合されています。^{[ 17 ]}

AppArmorは2017年8月15日のSolusリリース3で有効化されました。 ^{[ 18 ]}

AppArmorは、2019年7月にリリースされたDebian 10（Buster）ではデフォルトで有効になっています。^{[ 19 ]}

AppArmorはArch Linuxの追加リポジトリで利用可能です。^[²⁰^]

参照

参考文献

^ “Release_Notes_4.1.2” . 2025年9月12日. 2025年9月12日閲覧。
^ Open Hub の AppArmor: Application Armor オープンソースプロジェクト: 言語ページ
^ Mayank Sharma (2006年12月11日). 「SELinux: 使いやすさを犠牲にした包括的なセキュリティ」 . 2023年6月11日閲覧。
^ Ralf Spenneberg (2006年8月). 「Protective armor: Shutting out intruders with AppArmor」 . Linux Magazine. 2008年8月21日時点のオリジナルよりアーカイブ。 2008年8月2日閲覧。
^ 「セキュリティ/機能 - Ubuntu Wiki」 . wiki.ubuntu.com . 2020年7月19日閲覧。
^ Vincent Danen (2001年12月17日). 「Immunix System 7: Linux security with a hard hat (not a Red Hat)」 . 2012年5月23日時点のオリジナルよりアーカイブ。
^ WireX Communications, Inc. (2000年11月15日). 「Immunix.org: 安全なLinuxコンポーネントとプラットフォームの情報源」 . 2001年2月3日時点のオリジナルよりアーカイブ。
^ 「AppArmor_History · Wiki · AppArmor / apparmor」。
^ 米国商標 78,876,817
^ Gompa, Neal (2025年2月13日). 「Re: アナウンスメント: 新しいTumbleweedインストールにおけるSELinuxのデフォルトMACシステム - openSUSE Factory」 . openSUSEメーリングリスト. 2025年2月14日閲覧。
^ DeMaio, Douglas (2025年2月13日). 「TumbleweedがSELinuxをデフォルトとして採用」 . openSUSEニュース. 2025年2月13日閲覧。
^ 「SecurityTeam/KnowledgeBase/AppArmorProfiles – Ubuntu Wiki」。 2011年1月9日閲覧。
^ James Corbet (2010年10月20日). 「2.6.36カーネルがリリースされました」 .
^ Linus Torvalds (2010年10月20日). “Change Log” . 2011年9月4日時点のオリジナルよりアーカイブ。
^ 「Linux 2.6.36」。2010年10月20日。
^ Sean Michael Kerner (2010年10月20日). 「Linux Kernel 2.6.36 Gets AppArmor」 . 2018年2月3日時点のオリジナルよりアーカイブ。2010年10月21日閲覧。
^ 「DSM 5.1ベータプログラムのリリースノート」。2014年10月21日時点のオリジナルよりアーカイブ。
^ 「Solus 3 Linuxディストリビューションが愛好家向けにリリース」。
^ 「Buster の新機能」。
^ 「Arch Linux - apparmor pkgver-pkgrel (x86_64)」。

外部リンク

[wikidata-83cd67e410cbb59825cfd8fc3123945dc3d16f37-v20-1] “Release_Notes_4.1.2” . 2025年9月12日. 2025年9月12日閲覧。

[2] Open Hub の AppArmor: Application Armor オープンソースプロジェクト: 言語ページ

[3] Mayank Sharma (2006年12月11日). 「SELinux: 使いやすさを犠牲にした包括的なセキュリティ」 . 2023年6月11日閲覧。

[4] Ralf Spenneberg (2006年8月). 「Protective armor: Shutting out intruders with AppArmor」 . Linux Magazine. 2008年8月21日時点のオリジナルよりアーカイブ。 2008年8月2日閲覧。

[5] 「セキュリティ/機能 - Ubuntu Wiki」 . wiki.ubuntu.com . 2020年7月19日閲覧。

[6] Vincent Danen (2001年12月17日). 「Immunix System 7: Linux security with a hard hat (not a Red Hat)」 . 2012年5月23日時点のオリジナルよりアーカイブ。

[7] WireX Communications, Inc. (2000年11月15日). 「Immunix.org: 安全なLinuxコンポーネントとプラットフォームの情報源」 . 2001年2月3日時点のオリジナルよりアーカイブ。

[8] 「AppArmor_History · Wiki · AppArmor / apparmor」。

[9] 米国商標 78,876,817

[10] Gompa, Neal (2025年2月13日). 「Re: アナウンスメント: 新しいTumbleweedインストールにおけるSELinuxのデフォルトMACシステム - openSUSE Factory」 . openSUSEメーリングリスト. 2025年2月14日閲覧。

[11] DeMaio, Douglas (2025年2月13日). 「TumbleweedがSELinuxをデフォルトとして採用」 . openSUSEニュース. 2025年2月13日閲覧。

[12] 「SecurityTeam/KnowledgeBase/AppArmorProfiles – Ubuntu Wiki」。 2011年1月9日閲覧。

[13] James Corbet (2010年10月20日). 「2.6.36カーネルがリリースされました」 .

[14] Linus Torvalds (2010年10月20日). “Change Log” . 2011年9月4日時点のオリジナルよりアーカイブ。

[15] 「Linux 2.6.36」。2010年10月20日。

[16] Sean Michael Kerner (2010年10月20日). 「Linux Kernel 2.6.36 Gets AppArmor」 . 2018年2月3日時点のオリジナルよりアーカイブ。2010年10月21日閲覧。

[17] 「DSM 5.1ベータプログラムのリリースノート」。2014年10月21日時点のオリジナルよりアーカイブ。

[18] 「Solus 3 Linuxディストリビューションが愛好家向けにリリース」。

[19] 「Buster の新機能」。

[20] 「Arch Linux - apparmor pkgver-pkgrel (x86_64)」。

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[