John Johansen, a Canonical biztonsági mérnöke eljuttatta Linus Torvalds számára az AppArmor biztonsági modul legújabb fejlesztéseit a Linux 6.17 első kiadásra jelölt változatához. A csomag tartalmaz néhány utólag hozzáadott hibajavítást is, amelyeket Johansen a távollétét követően emelt be, saját és közösségi teszteléssel alátámasztva. Az összes patch átment a Linus-féle fő kernelfán végzett összevonási, fordítási és regressziós teszteken, és a főbb változtatások már hónapok óta jelen vannak a linux-next ágon, valamint az Ubuntu saját kernelverzióiban is. Az újdonságok túlnyomó többsége tehát érett állapotban kerül beolvasztásra, néhány utolsó pillanatban érkezett javítással kiegészítve.
Tartalomjegyzék
Finomhangolt AF_UNIX közvetítés és új szabályszintaxis
A frissítés központi eleme az af_unix socketek finomhangolt közvetítési képessége, amelyet az Ubuntu évek óta külön patchként hordozott. Ez most egy újratervezett, megtisztított formában kerül be a fő kernelbe, egy v9 jelzésű új ABI mögött elrejtve, hogy a korábbi szabályzatok ne szenvedjenek törést. A rendszer mostantól képes különbséget tenni az absztrakt, névtelen és fájlrendszer-alapú UNIX socketek között, cím és címke szerint is. Az absztrakt socketek @ karakterrel kezdődő címei, a névtelenek none kulcsszóval, az automatikusan címzett socketek pedig auto jelöléssel szabályozhatók.
A címzés mintázatokat is támogathat, beleértve a nullkaraktereket is, amelyek escape szekvenciával (\000 vagy \x00) adhatók meg. Ha a szabály nem ad meg címet, akkor automatikusan alkalmazható minden típusra. A fájlrendszerhez kötött socketek már eddig is szabályozhatók voltak fájlalapú szabályokkal, a többire most külön unix-specifikus szabályok használhatók. A címkék összevetése a label= feltétellel történik, lehetővé téve, hogy csak meghatározott címkéjű folyamatok kommunikálhassanak adott socketeken keresztül.
Refaktorálás, javítások és szabványosítás
Az AppArmor patchcsomag a funkcionális bővítéseken túl számos karbantartási és minőségjavító változtatást tartalmaz. A címkézési ellenőrzések optimalizálásra kerültek, a szabálylisták vektoros formára váltottak, a jelszignálok beállítása immár szabályzatban is definiálható. Tisztításra kerültek elírások, dokumentációs eltérések, nem használt változók és makrók, a hálózati közvetítési logika pedig előkészítést kapott a jövőbeli, protokoll-specifikus bővítésekhez. Egyes auditálási hiányosságokat szintén pótoltak, például az af_unix socketekhez tartozó címek teljes naplózása most már minden esetben biztosított.
A frissítés során egy korábban beemelt SHA-256 implementációt visszavontak, mivel az végül külön útvonalon, a kriptográfiai alrendszeren keresztül kerül majd be. Számos hiba is javításra került, többek között a policy unpack során előforduló memóriakezelési anomáliák, az exec viselkedésének halmozott profilhasználat melletti problémái, valamint a túlméretezett szabálytáblák kezelése. A fejlesztések révén az AppArmor modul a Linux 6.17 kerneleben még kifinomultabb szabályozási lehetőségeket nyújt, miközben szorosabban igazodik a disztribúciók, különösen az Ubuntu által kialakított biztonsági gyakorlatokhoz.
