warum auch immer, habe ich den eindruck es geht in der nachricht in erster linie um das open build framework geht und nicht um apparmor. aber um schön off topic zu bleiben ...
apparmor funktioniert eben nicht wie selinux. schon eher dürfte ein vergleich mit den windows policies treffen.
das prinzip von apparmor besteht darin, für (jeweils) eine anwendung festzulegen, was sie im system so alles anstellen darf (ports, prozesse, umgebung etc.). alles andere darf sie dann eben nicht. der admin ruft dazu ein gui(!) auf, startet dann darüber die anwendung und beobachtet nun, was sie tatsächlich so zu tun gedenkt. dies wird protokoliert und danach in regelform gebracht, verallgemeinert und gespeichert - fertig ist.
in einem der video casts der novell brainshare ist eine ansehnliche demonstration zu bestaunen. (ich glaube der vom mittwoch)
> [...]das prinzip von apparmor besteht darin, für (jeweils) eine anwendung festzulegen, was sie im system so alles anstellen darf (ports, prozesse, umgebung etc.).
Wird das nicht schon durch das normale Unix Rechtesystem abgedeckt? Oder liegt der Trick in der komfortablen feststellung der benötigten Rechte?
apparmor funktioniert eben nicht wie selinux. schon eher dürfte ein vergleich mit den windows policies treffen.
das prinzip von apparmor besteht darin, für (jeweils) eine anwendung festzulegen, was sie im system so alles anstellen darf (ports, prozesse, umgebung etc.). alles andere darf sie dann eben nicht. der admin ruft dazu ein gui(!) auf, startet dann darüber die anwendung und beobachtet nun, was sie tatsächlich so zu tun gedenkt. dies wird protokoliert und danach in regelform gebracht, verallgemeinert und gespeichert - fertig ist.
in einem der video casts der novell brainshare ist eine ansehnliche demonstration zu bestaunen. (ich glaube der vom mittwoch)
Wird das nicht schon durch das normale Unix Rechtesystem abgedeckt?
Oder liegt der Trick in der komfortablen feststellung der benötigten Rechte?
Schönen Gruß
Mark