And we're going to delve in just a little bit.

これから少し掘り下げていく。

I'm not going to go as far as a tutorial, because SELinux in particular is very complex, and really it would be better if you just bought a book or went and downloaded some of the Red Hat manuals, and I can provide those for you for links.

特にSELinuxは非常に複雑なので、本を買うか、Red Hatのマニュアルをダウンロードした方がいいでしょう。

That will help you in starting to learn it.

そうすれば、それを学び始めるのに役立つだろう。

Both of these are very powerful tools, and let's explore a little bit as to what they can be used for.

どちらも非常に強力なツールであり、どのような使い方ができるのか、少し探ってみよう。

Both of these are Linux security modules.

いずれもLinuxのセキュリティ・モジュールだ。

You may also hear them referred to as LSMs.

LSMと呼ばれることもある。

And those sort of act like the gatekeepers to your system.

そしてそれらは、システムの門番のような役割を果たす。

They control what applications can and cannot do.

アプリケーションができること、できないことをコントロールするのだ。

There are two options on the table, but which one should you choose?

選択肢は2つあるが、どちらを選ぶべきか？

Well, as usual, I'm not going to make that decision for you.

まあ、いつものことだが、私がその決断を下すつもりはない。

Again, I'm going to give you the information you need to make your own decision.

繰り返しになるが、私はあなた自身の決断に必要な情報を提供するつもりだ。

So, throughout this video, we'll break down SELinux and AppArmor and compare their features and help you pick the right security solution for your needs.

そこで、このビデオでは、SELinuxとAppArmorを分解し、それぞれの特徴を比較して、ニーズに合ったセキュリティ・ソリューションを選択できるようにする。

And with that, I am DJ Ware, and this is the Cyber Gizmo.

以上、私はDJウェア、こちらはサイバーギズモ。

I'd like to take a moment and thank the sponsors of this channel.

この場を借りて、このチャンネルのスポンサーに感謝したい。

The members of Patreon, as well as the members of the channel through YouTube.

Patreonのメンバー、そしてYouTubeを通じたチャンネルのメンバー。

Thank you so much for your support and helping bring this content in a higher quality than it would be possible otherwise.

皆さんのサポートと、このコンテンツを他の方法では不可能なほど質の高いものにするためのご協力に心から感謝します。

What is SELinux and AppArmor?

SELinuxとAppArmorとは？

So, first we probably should explain what is SELinux and AppArmor.

そこでまず、SELinuxとAppArmorとは何かを説明する必要があるだろう。

You've probably come across it in the documentation for if you've used Fedora or Red Hat or Rocky Linux or even AlmaLinux.

FedoraやRed Hat、Rocky Linux、あるいはAlmaLinuxを使ったことがある人なら、おそらくドキュメントで目にしたことがあるだろう。

You may have found documentation in there for SELinux.

その中にSELinuxに関する文書があるかもしれない。

If you're on the Ubuntu side or Debian side, you probably have run into discussions of AppArmor.

Ubuntu側やDebian側であれば、おそらくAppArmorの議論に遭遇したことがあるだろう。

So, let's talk about each in turn.

では、それぞれについて順番に話していこう。

SELinux stands for Security Enhanced Linux.

SELinuxはSecurity Enhanced Linuxの略である。

It is a heavyweight in the Linux security world.

Linuxセキュリティ界の重鎮である。

It is a mandatory access control system, meaning that it enforces the security policies that you define.

これは強制的なアクセス制御システムであり、あなたが定義したセキュリティ・ポリシーを実施することを意味する。

So, as the administrator, you are the one that creates a rulebook that applications must follow, and there are no exceptions to that.

つまり、管理者であるあなたが、アプリケーションが従わなければならないルールブックを作成するのであり、それに例外はない。

On the other hand, AppArmor kind of takes a profile-based approach.

一方、AppArmorはプロファイル・ベースのアプローチを取っている。

It creates profiles for specific applications, and those profiles outline exactly what they're allowed to do on your system.

特定のアプリケーションのプロファイルを作成し、そのプロファイルには、システム上でそのアプリケーションに許可されていることの概要が記述されている。

You can think of it as giving each application a specific set of permissions to allow access to files or not.

各アプリケーションに、ファイルへのアクセスを許可するかどうかの特定のパーミッション・セットを与えていると考えることができる。

So, it's more in tune with files than it is anything else.

だから、他の何よりもファイルと調和しているんだ。

Generally, SELinux is a little bit different.

一般的に、SELinuxは少し違う。

So, let's explore some of those differences.

では、その違いをいくつか探ってみよう。

So, we're looking at SELinux here and AppArmor, and the key difference between them is SELinux is a comprehensive security solution.

ここでSELinuxとAppArmorを見ているが、両者の重要な違いは、SELinuxが包括的なセキュリティ・ソリューションであることだ。

It can control everything from the access and network connections that your system is calling to system calls themselves that applications are allowed to make.

システムが呼び出すアクセスやネットワーク接続から、アプリケーションが許可するシステムコールそのものまで、すべてを制御することができる。

It is a much more powerful system, but it comes with a price, and that is a steep learning curve.

よりパワフルなシステムだが、その代償として学習曲線が険しくなる。

AppArmor, however, focuses on the file access and system calls.

しかしAppArmorは、ファイルアクセスとシステムコールに焦点を当てている。

It ensures applications can only access the files and the functions that they absolutely need.

これにより、アプリケーションは、絶対に必要なファイルと機能だけにアクセスできるようになる。

While it doesn't have the all-encompassing control of SELinux, it does provide a solid layer of protection.

SELinuxのような包括的な制御はできないが、強固な保護レイヤーを提供する。

The next big difference is configuration.

次の大きな違いはコンフィギュレーションだ。

SELinux isn't known for being user-friendly.

SELinuxはユーザーフレンドリーでないことで知られている。

It is a complex policy language that requires in-depth security knowledge.

これは複雑なポリシー言語であり、深いセキュリティ知識を必要とする。

You might think of it as writing code to define security rules, so it's not exactly considered a walk in the park.

セキュリティ・ルールを定義するためにコードを書くと考えるかもしれない。

AppArmor, on the other hand, takes a simpler approach.

一方、AppArmorはよりシンプルなアプローチをとっている。

It uses user profiles that define allowed capabilities for each application.

各アプリケーションで許可される機能を定義するユーザープロファイルを使用します。

It's more like creating permission sets, which is definitely easier to manage.

パーミッション・セットを作るようなもので、その方が管理しやすいのは間違いない。

So, back to the learning curve, SELinux will take you a while to get your head wrapped around.

SELinuxを使いこなすには、しばらく時間がかかるだろう。

The complex configuration language alone requires significant expertise.

複雑なコンフィギュレーション言語だけに、かなりの専門知識が必要だ。

AppArmor, on the other hand, is much easier to learn, and it makes it a good choice for those who are new to application security.

一方、AppArmorは学習がはるかに簡単で、アプリケーション・セキュリティに初めて取り組む人に適した選択肢となっている。

So, before you make a choice between SELinux and AppArmor, there might be some other considerations.

そのため、SELinuxとAppArmorのどちらかを選択する前に、他に考慮すべきことがあるかもしれない。

Think about your security requirements.

セキュリティ要件について考えてみよう。

You may need high security with granular control over everything your applications do.

アプリケーションの動作すべてをきめ細かく制御する高いセキュリティが必要な場合もあるだろう。

In that case, SELinux might be a best bet.

その場合、SELinuxが最善の策かもしれない。

If, on the other hand, you're looking for basic protection and ease of use, AppArmor would be a good fit.

一方、基本的な保護と使いやすさを求めるのであれば、AppArmorが適しているだろう。

System complexity also plays a role here.

システムの複雑さもここに一役買っている。

If you're managing a complex system with many applications interacting with each other, SELinux might introduce additional management overhead.

多くのアプリケーションが相互に影響し合う複雑なシステムを管理している場合、SELinuxはさらなる管理オーバーヘッドをもたらすかもしれない。

In simpler systems, AppArmor might be sufficient to keep things secure.

よりシンプルなシステムでは、AppArmorで十分かもしれない。

So, finally, consider your expertise on where you are in your ability to be able to configure and manage these two.

だから最後に、この2つを構成し管理する能力がどの程度あるのか、自分の専門知識を考えてみてほしい。

If you have experience as a security administrator and you think you can handle SE intricacies, it probably offers more control.

もしあなたがセキュリティ管理者としての経験があり、SEの複雑さに対処できると思うのであれば、おそらくその方がコントロールしやすいだろう。

But for users who are less familiar with security, AppArmor is simpler, the configuration is easier to understand, and that might be preferable.

しかし、セキュリティにあまり詳しくないユーザーにとっては、AppArmorの方がシンプルで、設定も理解しやすく、その方が望ましいかもしれない。

So, there you have it.

さて、これで完成だ。

SELinux and AppArmor are both powerful tools, and both can secure your Linux system.

SELinuxとAppArmorはどちらも強力なツールであり、どちらもLinuxシステムをセキュアにすることができる。

The right choice depends on your specific needs and your expertise and level of confidence in your capabilities.

適切な選択は、具体的なニーズと、あなたの専門知識、能力に対する自信の度合いによって決まる。

SELinux offers comprehensive security with granular control.

SELinuxは、きめ細かなコントロールで包括的なセキュリティを提供する。

It comes with a steeper learning curve, and it also is more rigorous when it comes to testing.

学習曲線はより険しくなり、テストに関してはより厳格になる。

Also, it is not very forgiving of misconfigurations, as I found out when I was first learning to use it.

また、私が最初に使い方を学んだときにわかったことだが、設定ミスにはあまり寛容ではない。

So, if you misspell something in your SELinux configuration file that's in Etsy, your system will not reboot.

だから、EtsyにあるSELinux設定ファイルのスペルを間違えても、システムは再起動しない。

So, if you are going down the road for SELinux, my suggestion would be to use a VM, snapshot the VM before you make any changes that require a reboot, and then test your changes, and then if it doesn't work, you have a fallback.

もしSELinuxを使うのであれば、VMを使い、再起動が必要な変更をする前にVMをスナップショットし、変更をテストすることだ。

AppArmor, however, is a little bit of a simpler approach with a focus on file access control, and it just makes it easier to learn and implement.

しかしAppArmorは、ファイル・アクセス・コントロールに焦点を絞った少しシンプルなアプローチであり、学習と実装が容易になっている。

It also is a little easier to test.

テストも少しはしやすくなる。

I mean, you don't have quite as rigorous test routines because its function and scope is limited to a subset of what SELinux can do.

つまり、SELinuxの機能と範囲がSELinuxができることのサブセットに限定されているため、それほど厳密なテストルーチンを持っていないのだ。

So, ultimately, the best security solution, as we always say, is the one you use.

だから最終的には、私たちがいつも言っているように、最善のセキュリティ・ソリューションはあなたが使うものなのだ。

Neither one are effective if they're not turned on.

どちらも電源が入っていなければ効果はない。

So, remember, securing your system is an ongoing process.

だから、システムの安全確保は継続的なプロセスであることを忘れないでほしい。

This is only one link in the chain, so don't rely on this as your absolute only security mechanism.

しかし、これはあくまで鎖の中の1つのリンクに過ぎないので、これを絶対的な唯一のセキュリティ・メカニズムとして頼ってはならない。

To me, it's unfortunate that we have all of these tools that you have to piece together into a chain of things, and to hopefully get them to work together without interjecting any more possibilities for vulnerabilities to slip in.

私にとって残念なのは、このようなツールがあるにもかかわらず、それらを連鎖的に組み合わせ、脆弱性が入り込む可能性をこれ以上増やすことなく、うまく機能させなければならないことだ。

Anytime you install a service, you're inviting another place for a crack to appear in the armor of your system.

サービスをインストールするときはいつでも、システムの鎧に亀裂を生じさせる別の場所を招くことになる。

So, I think, you know, for me, stay tuned.

だから、僕としては期待しているよ。

But for now, thanks for joining us.

でも今は、参加してくれてありがとう。

And if you have any questions, leave them in the comments below and hit that subscribe button and share it with your friends.

質問があれば、下のコメント欄に書き込んでください。

And I hope to see you all again in the next video.

また次のビデオで皆さんにお会いできることを楽しみにしています。

And bye for now.

それではまた。