AppArmor

AppArmor — подсистема безопасности ядра Linux, используемая по-умолчанию в ОС Ubuntu и OpenSUSE.

Позволяет определять при помощи политик безопасности (профилей), к каким системным ресурсам приложения могут иметь доступ. Вся активность, которую политика безопасности явно не разрешает, будет заблокирована на уровне ядра Linux.

На практике это выглядит так: у вас есть, браузер Firefox и AppArmor профиль для него. Для простоты, предположим, что Firefox необходим только доступ к определенным файлам и доступ к сети — это определено в профиле. Если вдруг Firefox захочет получить доступ к вебкамере или прочитать файлы из директории /home/user/TopSecretNSAFiles, его ждёт облом — ядро Linux не позволит этого сделать, а отчет по этому инциденту будет записан в логи.

Некоторые приложения поставляются с готовыми профилями и их остается только включить в режим enforce (например, i2pd). Для других, приходится искать профиль в Интернете, или составлять его самостоятельно.

Подобная система есть в OS Android, там все приложения явно указывают к каким системным ресурсам им нужен доступ.

Существует так же альтернативная подсистема безопасности SELinux.