Ubuntu 24.04とAppArmor

Ubuntu 24.04と AppArmor Kattyan 2025/03/25 1

自己紹介 HN: Kattyan 職業: 大学生 最近やっていること: youkiへのcontribute 2

AppArmorについて 最近のディストリビューションに搭載されているLinuxのセキュリティ機構(Ubuntu, SUSEなど) Linuxのためのセキュリティシステムの一つで、Mandatory Access Control (MAC)と いう仕組みを利用している（個々のプログラムがアクセスできるファイル、ネットワー ク、その他のシステムリソースを制限することで、プログラムを閉じ込める（confine） 役割を果たす） 従来のLinuxのセキュリティメカニズムであるDiscretionary Access Control (DAC) は、ファイルの所有者やグループに基づいてアクセス権限を管理するが、AppArmorは これに加えて、プログラム自体に基づいてアクセス制御を行う https://gitlab.com/apparmor/apparmor/-/wikis/GettingStarted より間接引用 3

• https://gitlab.com/apparmor/apparmor/-/wikis/GettingStarted

Ubuntu 24.04での変更点 Ubuntu 24.04 LTS のカーネルは、apparmor パッケージと組み合わせて、非特権ユー ザー名前空間の使用を制限するようになった 上記の影響で特権のない未構成のシステム上のすべてのプログラムに影響する デフォルトの AppArmor プロファイルが提供され、特権のない未構成のアプリケー ションに対するユーザー名前空間の使用を許可するが、その後のユーザー名前空間内で のケーパビリティの使用は拒否される コンテナランタイムでコンテナを作成する際にも影響が及ぶ https://discourse.ubuntu.com/t/ubuntu-24-04-lts-noble-numbat-release-notes/39890 より間接引用 4

• https://discourse.ubuntu.com/t/ubuntu-24-04-lts-noble-numbat-release-notes/39890

youkiでの対応 cgroup v1のテストをUbuntu 20.04で行っていたので、Ubuntu 24.04にアップグレード する必要があった libcontainerでコンテナを生成するテストが今回のAppArmorの仕様変更に伴い、失敗 するようになった 対応としては一時的にAppArmorを弱める対応で暫定処置を打った 将来的にはAppArmorのProfileを書きたい 5