apparmor 访问控制详解

最新推荐文章于 2024-07-08 14:38:07 发布
最新推荐文章于 2024-07-08 14:38:07 发布
阅读量2.3k 收藏 6
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WUWEIWUYU/article/details/104282647
版权

apparmor 访问控制详解

AppArmor配置文件描述了授予给定程序的强制访问权限,并且使用AppArmor_parser 执行AppArmor策略模块。
所有资源和程序都需要完整的路径。在配置文件中可能存在任意数量的子文件,它仅受内核内存大小限制。子文件名最长974个字符。子配置文件可用于以特殊方式限制应用程序,或者当希望子进程在系统上不受限制,但父进程需要被限制。hats是以一种特殊的子配置,用于aa_change_hat API的调用。

apparmor可以做到以下几方面的控制:
	1.文件系统的访问控制
	2.资源限制
	3.网络访问控制
	4.capability条目
	5.mount控制
	6.Pivot Root 控制
	7. PTrace 控制
	8.Signal 控制
	9.dbus 控制
	10. unix socket 控制
	11.change_profile控制

一、文件系统的访问控制

选项说明
rRead mode
wWrite mode
aAppend mode
mAllow executable mapping

示例:

# Last Modified: Wed Feb 12 19:25:31 2020
#include <tunables/global>

/usr/bin/vim.tiny {
  #include <abstractions/base>

  /lib/x86_64-linux-gnu/ld-*.so mr,
  /usr/bin/vim.tiny mr,
  /var/tmp/** rw,
  /var/tmp/test1.txt r,
  /var/tmp/test2.txt ar,
  /var/tmp/test3.txt wr,
}

二、资源限制
AppArmor可以设置和控制与配置文件相关联的资源限制,可以参照setrlimit(2)手册页。
AppArmor rlimit控制允许设置限制并限制它们的更改,这些操作可以被审计。在强制模式下,这些限制被标准内核强制限制。
示例:

         set rlimit data <= 100M,
         set rlimit nproc <= 10,
         set rlimit nice <= 5,

三、网络控制
     AppArmor支持简单的粗粒度网络中介。。网络规则可以限制所有基于socke(2)的基本操作。对一个给定类型和族的套接子进行创建、读、写的检测。无法对tcp, udp, raw协议上的端口号进行控制。
 示例:

         network,               #allow access to all networking
        network tcp,           #allow access to tcp
        network inet tcp,      #allow access to tcp only for inet4 addresses
        network inet6 tcp,     #allow access to tcp only for inet6 addresses
        network netlink raw,   #allow access to AF_NETLINK SOCK_RAW
domybest_nsg
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux安全模块AppArmor总结
yolo_yyh的博客
11-24 5337
Linux的安全模块,除了SELinux还有AppArmor,AppArmor相对来说要简单很多,多用于Ubuntu系统,这篇文章带大家了解AppArmor的策略。
使用apparmor限制和允许程序的行为
Linux内核研究者
03-10 337
使用apparmor限制和允许程序的行为
Linux 系统安全加固:深入 SELinux 与 AppArmor
最新发布
weixin_39372311的博客
07-08 989
SELinux 和 AppArmor 是两款强大的 Linux 安全模块,它们可以帮助你加固 Linux 系统安全,防止未经授权的访问和恶意行为。通过学习它们的原理、配置和使用方法,你可以更好地保护 Linux 系统安全,确保其稳定运行。
Apparmor??Linux内核中的强制访问控制系统
01-20
AppArmor   因为近在研究OJ(oline judge)后台的安全模块的实现,所以一直在研究Linux下沙箱的东西,同时发现了Apparmor可以提供访问控制。   AppArmor(Application Armor)是Linux内核的一个安全模块,AppArmor允许系统管理员将每个程序与一个安全配置文件关联,从而限制程序的功能。简单的说,AppArmor是与SELinux类似的一个访问控制系统,通过它你可以指定程序可以读、写或运行哪些文件,是否可以打开网络端口等。作为对传统Unix的自主访问控制模块的补充,AppArmor提供了强制访问控制机制,它已经被整合到2.6版本的
Apparmor——Linux内核中的强制访问控制系统
02-24 461
AppArmor 因为最近在研究OJ(oline judge)后台的安全模块的实现,所以一直在研究Linux下沙箱的东西,同时发现了Apparmor可以提供访问控制AppArmor(Application Armor)是Linux内核的一个安全模块,AppArmor允许系统管理员将每个程序与一个安全配置文件关联,从而限制程序的功能。简单的说,AppArmor是与SELinux...
linux下安全模块Apparmor介绍与设置
mengjiaoduan的博客
11-23 1267
http://blog.csdn.net/A_sungirl/article/details/50898603
Linux Security Framework -- Apparmor机制介绍
热门推荐
少帅的天空
09-05 1万+
AppArmor 是一个类似于selinux 的东东,主要的作用是设置某个可执行程序的访问控制权限,可以限制程序 读/写某个目录/文件,打开/读/写网络端口等等。     Novell给出的Apparmor的解释: AppArmor is designed to provide easy-to-use application security for both
linux 2.6.3x详解
12-30
6. **安全性**:内核中集成了SELinux(安全增强型Linux)和AppArmor等安全机制,提供了细粒度的访问控制,增强了系统的安全防护。 7. **嵌入式支持**:虽然描述中提到是基于x86的内核选项,但2.6.3x内核同样适用于...
Linux服务器安全策略详解
04-13
启用`selinux`或`apparmor`等强制访问控制机制,增加额外的安全层。 日志监控与审计不容忽视。配置syslog收集系统日志,使用工具如`logwatch`或`rsyslog`进行分析。定期审查`/var/log`下的日志文件,寻找异常活动。...
嵌入式Linux系统开发技术详解.zip
11-26
嵌入式Linux系统开发技术详解是一项复杂而富有挑战性的任务,尤其在当今物联网(IoT)和智能设备广泛应用的时代。本文将深入探讨嵌入式Linux系统开发的关键技术和实践方法,以帮助开发者理解和掌握这一领域。 一、...
嵌入式Linux应用程序开发详解
11-19
3. I/O控制:学习如何处理中断、DMA(直接内存访问)等I/O方式。 五、网络编程 1. Socket接口:用于网络通信,包括TCP/IP、UDP等协议栈的使用。 2. 多线程/多进程编程:在并发网络服务中,多线程或多进程能提高效率...
lsm.rar_V2
09-14
综上所述,AppArmor 2.13.6 版本作为 Linux 系统的安全增强工具,通过提供精确的访问控制策略,帮助保护系统免受恶意软件和攻击。`lsm.c` 文件则揭示了其在 Linux 内核安全架构中的具体实现细节。对于系统管理员和...
Apparmor--linux内核强制访问控制
jingemperor的博客
09-06 623
AppArmor(Application Armor)是Linux内核的一个安全模块,AppArmor允许系统管理员将每个程序与一个安全配置文件关联,从而限制程序的功能。简单的说,AppArmor是与SELinux类似的一个访问控制系统,通过它你可以指定程序可以读、写或运行哪些文件,是否可以打开网络端口等。作为对传统Unix的自主访问控制模块的补充,AppArmor提供了强制访问控制机制,它已经被整合到2.6版本的Linux内核中。 目前Ubuntu已自带了Apparmor, 可以在手册中获得相应的资料。
CKS-系统强化-POLP(apparmor)
weixin_45081220的博客
06-22 776
POLP
华中科技大学网安学院信息系统安全实验 系统安全 APPARMOR
Bourne的博客
06-24 2851
2.1 APPARMOR实验 2.1.1 实验目的 AppArmor是linux系统中提供的一种强制访问控制方法,与SELinux类似,AppArmor 通过提供强制访问控制(MAC) 来补充传统的Linux自主访问控制(DAC) 。AppArmor允许系统管理员通过为每个程序进行权限配置,来限制程序的功能。配置文件可以允许诸如网络访问、原始套接字访问以及在匹配路径上读取、写入或执行文件的权限等功能。本实验的学习目标是让学生根据不同程序的访问控制需求,使用AppArmor进行访问控制配置,理解最小特权原则,
apparmor 初识(一)
WUWEIWUYU的专栏
02-10 5760
AppArmor(Application Armor)是Linux内核的一个安全模块,AppArmor允许系统管理员将每个程序与一个安全配置文件关联,从而限制程序的功能。简单的说,AppArmor是与SELinux类似的一个访问控制系统,通过它你可以指定程序可以读、写或运行哪些文件,是否可以打开网络端口等。作为对传统Unix的自主访问控制模块的补充,AppArmor提供了强制访问...
Apparmor简单学习
trap0D的专栏
06-05 4520
0x0 前言对这几天研究apparmor做一个总结。Apparmor的功能类似于selinux,基本上是基于最小权限原则,一些基本的概念和使用类似,如都包括complain和enforce模式;但在使用性方面,Apparmor较selinux更简单,例如规则文件无需编译。关于Selinux的一些基础理论和使用,网上有大量资料,不再赘述。 0x1 安装与使用Ubuntu系统集成了apparmor
AppArmor配置(二)
WUWEIWUYU的专栏
02-10 3092
AppArmor 是一个实施了基于名称强制存取控制的Linux安全模组。AppArmor 界定了单个程序进入一组文件列表的权限并遵循posix 1003.1e 草稿的能力。 默认情况下AppArmor已安装并载入。它使用每个程序的profiles来确定这个程序需要什么文件和权限。有些包会安装它们自己的profiles,额外的profiles可以在apparmor-profiles包里找到。 要安装...
什么是强制访问控制(MAC)?
04-22
强制访问控制(MAC)是一种安全机制,用于在操作中对资源的访问进行严格的控制。它通过强制执行预定义的安全策略来限制用户或进程对资源的访问权限。MAC机制与传统的基于权限的访问控制(DAC)不同,后者是基于用户或进程的身份和权限来控制资源的访问。 在Linux系统中,有两种常见的MAC实现:SELinux和AppArmor。SELinux是由美国国家安全局(NSA)设计的一种MAC方法,它通过为每个对象(如文件、进程、网络端口等)分配一个安全上下文标签,并定义了一组规则来限制对象之间的交互,从而实现强制访问控制AppArmor是另一种流行的MAC实现,它提供了更多的特性,包括学习模式和配置文件设置限制,以实现对应用程序的安全访问控制。 MAC机制的优势在于它可以提供更细粒度的访问控制,可以根据对象的安全上下文标签来限制访问,而不仅仅依赖于用户或进程的身份和权限。这种机制可以帮助提高系统的安全性,防止未经授权的访问和恶意行为。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值