Wie schützt AppArmor

AppArmor betrachtet einzelne Prozesse und überwacht deren Zugriffe. Dabei entscheidet es, ob der Zugriff erlaubt oder abgelehnt wird. Die Überwachung des Prozesses wird von AppArmor zum Startzeitpunkt des Prozesses aktiviert. AppArmor muss also vor dem Prozess aktiviert werden und das entsprechende Profil geladen worden sein. AppArmor unterstützt die Steuerung über ein Security-Dateisystem unterhalb von /sys/kernel/security. Bei älteren Versionen befindet sich diese Schnittstelle in /subdomain. Um den Schutz zu gewährleisten, liest AppArmor die Richtlinien aus den Profildateien ein. Unabhängig von diesen Dateien stellt AppArmor sicher, dass ein überwachter Prozess nie die folgenden Systemaufrufe durchführen kann:

• create_module(2)
• delete_module(2)
• init_module(2)
• ioperm(2)
• iopl(2)
• mount(2)
• mount(2)
• ptrace(2)
• reboot(2)
• setdomainname(2)
• sethostname(2)
• swapoff(2)
• swapon(2)
• sysctl(2)
• mknod(2) für Zeichen oder Blockgeräte