AppArmorは使われるか？

AppArmorは, それなりに使われるようになると私個人は思う。
実際にAppArmorを使ってみて，
「お手軽セキュアOS」としてのAppArmorを私個人は高く評価している(今のところ）。
一般人受けしそうな理由を考えてみた。

• デフォルトはどのプログラムにもAppArmorが適用されず，選択したプログラムにだけ適用される、という設定方針が分かりやすいし、AppArmorを無効にされることも少ないだろう
• パス名ベースの設定を大体サポート（完全ではないという噂もある）
  • ラベル(or iノード)<->ファイルの関連を気にしないでいい
• 設定の追加が、普通の管理者レベルの知識で可能
• アプリケーションの拡張が基本的にいらない
  • アプリの拡張がからむと、一般人には解決不能なトラブルに陥ることも。
    • rpmとかsuのSELinux拡張のせいで過去ハマったことがある
• SuSE10.1にデフォルトで入ってる
  • 影響力の大きなdistroに入っているのは大きい。

懸念

気を付けるべきは、
SELinuxとAppArmorが同列に論じられることがあってはならないと思う。
心配なのは、「SELinuxとAppArmorのセキュリティ機能が同等」と勘違いさせる報道が現れること。
「最強のセキュリティを実現したい人」がAppArmorを選択することはあってはならない。
「最強セキュリティを実現できるセキュアOS」としてのAppArmorは、全然駄目です(そもそもそういうものではない）
AppArmorは、
「選択したアプリケーションのファイルアクセス(とPOSIX capability)のみを封じ込める」だけ。
(将来はネットワーク封じ込めもやるようだが）
封じ込めのレベルがSELinuxと比較にならない。
SELinuxは、全てのプロセスおよびユーザーを封じ込められるし、
ネットワーク、プロセス間通信をも制御できる。
また、MCS/MLSにより、軍事セキュリティも実現可能。

TOMOYO LinuxとAppArmorも、目指す物が違うと思う。
LIDSとAppArmorは近いかもしれない。
seeditは、設定者の技量次第で、AppArmor<--->SELinux　のどのレベルまで固めるかを選択できるようにしたい。