apparmor - KimTaebin-ai/study_posts GitHub Wiki

AppArmor란

• 시스템 관리자가 프로그램 프로필 별로 프로그램의 역량을 제한할 수 있게 해주는 리눅스 커널 보안 모듈

• 프로필들은 네트워크 액세스, raw 소켓 엑세스, 파일의 읽기·쓰기·실행 과 같은 능력을 허용할 수 있다

• 강제적 접근 통제(Mandatory Access Control, MAC)를 제공함으로써 전통적인 유닉스 임의적 접근 통제(Discretionary Access Control, DAC) 모델을 보완

DAC(임의적 접근 통제)

• 시스템 객체에 대한 접근을 사용자나 그룹의 신분을 기준으로 제한
• 사용자나 그룹이 객체의 소유자라면 다른 주체에 대해 해당 객체에 대한 접근 권한 설정 가능
• 자신의 판단에 의해 권한을 줄 수 있기 때문에 임의적이라고 함

MAC(강제적 접근 통제)

• 미리 정해진 정책과 보안 등급에 의거하여 접근 통제
• 자원에 대한 접근은 주체의 보안등급과 객체의 보안레벨에 기반
• 관리자만이 객체의 보안레벨, 주체의 보안등급을 수정할 수 있음
• 높은 보안을 요구하는 정보는 낮은 보안 수준의 주체가 접근할 수 없음
• 객체의 소유자라고 해도 정책에 어긋나면 객체에 접근할 수 없음