Компания Canonical повторила попытку интегрировать AppArmor в основное Linux ядро

Команда Canonical, продвигающая AppArmor ¹ в Ubuntu, в роли больше простого в настройке аналога системы определения политический деятель безопасности SELinux, предприняла повторную попытку инициирования процесса интеграции AppArmor в основную ветку Linux ядра. Прошлая прикидка была осуществлена в 2007 году компанией Novell, но привела только к критике со стороны некоторых авторитетных разработчиков Linux ядра.

Основные претензии сводились к недостаточной совместимости с интерфейсом LSM и излишней привязке к файловому пути взамен реализации через ассоциированные с объектом метки (как в SELinux). Разработчики из проекта Ubuntu учли высказанные ранее критические замечания и подготовили усовершенствованный вариант AppArmor, переделанный в плане использования стандартных LSM (Linux Security Modules) хуков (задействовали security_path вместо vfs), что повышает соблазнительность патча для включения в основную ветку Linux ядра.

Изначально AppArmor представлял с лица проприетарный работа компании Immunix, которая была поглощена компанией Novell в 2005 году. Год спустя исходные тексты AppArmor были открыты компанией Novell под лицензией GPL и интегрированы в дистрибутив openSUSE. В 2007 году создатель проекта и бригада разработчиков AppArmor покинула компанию Novell и прогресс технологии почти что остановилось. Novell сохранила в своих продуктах поддержку AppArmor, но интегрировала в дистрибутив и поддержку SELinux, позиционируя данную технологию как более перспективную. Отказался от AppArmor и дистрибутив Mandriva, перешедший на употребление интегрированного в Linux ядро 2.6.30 фреймворка TOMOYO. Единственным оплотом AppArmor остался проект Ubuntu, разработчики которого продолжают улучшать технологию и, например, недавно добавили в парсер AppArmor поддержку кэширования правил, что позволило гораздо ускорить процесс инициализации во время загрузки.