Ottawa Linux Symposium3日目：NFS、USB、AppArmor、LSBの話題：Linuxの最新動向が一目で分かる（4/5 ページ）

[David-'cdlu'-Graham，Open Tech Press]

AppArmor対SELinux

　3日目の晩の興味深いBOF（Birds Of a Feather）セッションの中に、IBMのドク・シャンカール氏による「Linuxセキュリティの現状」というセッションがあった。

　シャンカール氏は、主としてSELinuxに注力するセキュリティプロジェクトの最新情報を簡単に紹介するために、数名のセキュリティの専門家を招いていた。ただし、SELinuxの奥の深さは完全にわたしの理解を超えていた。ただ、著しくわたしの注意を引いた発表が1つあった。

　それはNovellのクリスピン・コワン氏による発表で、同社が最近Immunix社を買収し、そのAppArmorという、SELinuxに匹敵するとみられるLinuxセキュリティプログラムを獲得したことが述べられた。

　AppArmorのシンプルさとロジックは、なぜそれまで話題にならなかったのかと不思議に思うくらい素晴らしいものだった。簡単に言うと、AppArmorはサービスおよびアプリケーションへのアクセスを、特定のルート権限などの権限と、AppArmorの役割を果たすために必要なファイルだけに制限するセキュリティツールである。また、保護対象プログラムによるタスク実行の監視によって明示的に指示しなくてもそれらが何かを学習でき、それぞれの動作をログに出力することができる。コワン氏は簡単なデモを行って、どうすればApacheをわずか2分でAppArmorに結合できるかを示した。また、サンプルWebページのルートホールの攻撃に必要なリソースの利用を許さないことによって、セキュリティ上の弱点を回避していた。

　果たして、この対策を打ち破る方法があるだろうか。