AppArmor es un sistema de seguridad MAC (Mandatory Access Control o Control de acceso Obligatorio) para GNU/Linux. El sistema AppArmor utiliza unos perfiles de acceso escritos en un lenguaje amigable para el administrador, con el fin de limitar a los programas el acceso a un determinado grupo de ficheros, capabilities, accesos de red y limites de recursos, conocidos como la política o perfil de acceso de AppArmor para el programa.
Este patrón nos permite duplicar un objeto que utilizamos como objeto prototipo. Se encuentra dentro de los patrones creacionales ya que nos va a devolver un nuevo objeto, un clon del original.
Veíamos en una entrada anterior los cgroups o grupos de control, que nos permitían limitar y monitorear el uso de varios tipos de recursos. Hoy en día, y desde la llegada del sistema de inicio systemd, los cgroups son una parte integral del sistema operativo, y cada proceso se ejecuta en su propio grupo de control.
El patrón Memoria (Memento) se utiliza para guardar y restaurar el estado de un objeto. Este patrón se engloba dentro de los patrones de comportamiento.
Los cgroups o grupos de control, son una característica del kernel Linux que permite que los procesos se organicen en grupos jerárquicos con el fin de limitar y monitorear el uso de varios tipos de recursos. Con cgroups cada proceso corre en su propio espacio del kernel y de la memoria. Cuando se tienen la necesidad, un administrador puede configurar fácilmente un cgroup para limitar los recursos que puede utilizar un proceso.
El patrón Fachada (Facade) proporciona una interfaz unificada y simplificada a un grupo de interfaces de un subsistema. Este patrón pertenece al grupo de patrones estructurales ya que su objetivo es agregar una interfaz al sistema existente para ocultar sus complejidades.
Cada uno de los procesos que ejecutamos en el sistema tienen la opción de interaccionar con el kernel a través de las system calls (llamadas a sistema). Los procesos pueden pedir al kernel que realicen alguna tarea como modificar un fichero, crear un nuevo proceso, cambiar los permisos a un directorio, etc. utilizando un API (Application Programming Interface) por el que el kernel da acceso a sus servicios.
Muchas de las system calls están accesibles a cada proceso en el área de usuario, pero una gran parten no se utilizan durante toda la vida del proceso. El filtrado Seccomp ofrece un medio para limitar el número de system calls que expone el kernel a un determinado proceso.
El patrón Método de Fabricación se encuentra dentro de los patrones creacionales ya que proporciona una forma de crear objetos, concretamente define un interfaz, pero permite al cliente decidir que clase instanciar y referenciamos al objeto creado usando esta interfaz común.
Para realizar operaciones en una imagen de disco sin cargarlo en una máquina virtual (VM) podemos usar guestfish. guestfish es un shell interactivo que se puede utilizar desde la línea de comandos o desde scripts de shell para acceder a los sistemas de archivos de la VM. guestfish utiliza la librería libguestfs.
El patrón Singleton es uno de los patrones más sencillos. Se encuentra dentro de los patrones creacionales ya que su objetivo es limitar que un objeto tenga una sola instancia y proporciona un método de acceso a esa instancia.