Develop and Download Open Source Software

長所と短所

AppArmorの導入はごく簡単であり、少なくともSUSEユーザならば苦労しないだろう。インストール時にカーネルやアプリケーションを再コンパイルする必要はなく、Novellのどちらのディストリビューションにもインストールが統合されている。SUSE Linuxのホームユーザでも、比較的簡単に、GaimインスタントメッセンジャーやFirefox Webブラウザといった重要なネットワークアプリケーションを保護するプロファイルを設定できるだろう。

だが、AppArmorの機能を最大限に活用するためには、対象アプリケーションの仕組みを細部までよく知る必要がある。いったんプロファイルを設定すると、そのプロファイルに含め忘れた機能にはアクセスできなくなる。慎重に設定しないと、AppArmorの柔軟性が困った事態をもたらすおそれがあるのだ。これを回避するには、さまざまなファイルとライブラリに対する参照を1つ1つ確認し、すべての参照について適切な権限を選択するようにする。ワイルドカード文字を使用するときは特に注意する。

Novellは、AppArmorに関して詳細な『Administrators Guide』と簡単な『Quick Start Guide』の2種類のマニュアルを用意している。さらに、FAQといくつかのメーリングリストもある。前にも述べたとおり、叩き台となるプロファイルもいくつか用意されている。エンタープライズユーザならば、SUSE Linuxサブスクリプションを通じて保守アップデートを入手できる。

予定されている機能拡張

AppArmorは今なお開発中である。AppArmorはNovellの2種類のディストリビューションに統合されているが、Slackwareで使用することもできる。Ubuntuポートも計画中である。AppArmorの機能をより洗練させるために、現在の、単にlddを繰り返し実行して共有ライブラリ呼び出しの一覧を作成するアナライザに代えて、もっと良い静的アナライザを使用する計画もある。また、管理者の時間を節約するために、報告済みのアクションは報告しないという、より賢い学習モードを導入する計画も進んでいる。

AppArmorで保護されるのは、プロファイルのあるアプリケーションだけである。将来的には、専用のプロファイルを持たないすべてのアプリケーションに対応するグローバルプロファイルの実装が計画されている。このプロファイルでは、ブラックリスト方式に従い、ディストリビューション内の重要ファイル（/etc/sudoers、/etc/shadow）に対するアクセスを基本的にすべて拒否し、特別に許可されたプロファイルを持つアプリケーションのアクセスだけを例外として認めるようにする。

まとめ

AppArmorは非常に完成度の高いツールだが、Novellはさらに改良を続けている。ここまで一貫して述べてきたように、これは500ページのマニュアルがないと使えないという類のものではない。しかし、どんなセキュリティツールでもそうであるように、正しい使い方を学ぶ必要がある。現時点では、2種類のSUSEディストリビューションからごく簡単に使用できるが、広く普及するためには、他のディストリビューションでもサポートされる必要がある。ただ、最近のNovellとMicrosoftのパートナーシップについては何かと批判的な声があるので、AppArmorも他のディストリビューションベンダに素直には受け入れられない可能性がある。