ubuntu中的apparmor

最新推荐文章于 2023-01-12 23:55:01 发布
最新推荐文章于 2023-01-12 23:55:01 发布
阅读量2.7k 收藏 7
点赞数 1
分类专栏: 数据安全 linux 文章标签: apparmor 数据安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cooperdoctor/article/details/84062206
版权

ubuntu中的apparmor

apparmor是什么

Apparmor是ubuntu自带的安全工具,可以限制已知应用的能力,控制应用访问文件、目录和网络的能力。具有类似功能的工具还包括selinux、lids,目前selinux、lids和apparmor遵循LSM框架,并通过LSM框架整合到内核中。

常用apparmor操作

1、/etc/init.d/apparmor start|stop|restart|status 用于启动、停止、重启apparmor和查看apparmor进程的状态。
2、apparmor_status可查看受apparmor控制的应用,执行结果如下图所示: apparmor_status

apparmor的工作模式

apparmor有两种工作模式,enforcement和complain
enforcement 模式下,应用将严格遵循配置文件里列出的限制条件,未被授权的访问将被拒绝。
complain模式下,如果应用违反了配置文件里的限制条件,apparmor只是对程序的行为进行记录,不会拒绝访问。

apparmor的配置文件

apparmor的配置文件保存在/etc/apparmor.d/目录下,每个受apparmor控制的应用都有一个配置文件,并且配置文件的名字与应用的路径和名字强制关联。修改应用名或路径后,配置文件将会失效。
/bin/ping的配置为/etc/apparmor.d/bin.ping
/usr/sbin/cupsd的配置为/etc/apparmor.d/usr.sbin.cupsd

apparmor的适用场景

apparmor对已知应用的行为进行限制,控制其能够访问的部分资源,包括文件、目录、硬件和网络等;

apparmor是操作对象是主体。对于未知应用或未配置应用起不到任何作用;

apparmor适用于限制已知应用的权限,如果应用存在安全漏洞,由于其访问的资源有限,造成的后果有限;

cooperdoctor
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于ubuntu apparmor的关闭
qq_63527808的博客
04-05 1601
【代码】关于ubuntu apparmor的关闭。
Ubuntu下载安装AppArmor相关组件
phmatthaus的专栏
04-20 607
Ubuntu下载安装AppArmor相关组件
Ubuntu 上配置 AppArmor 实现强制访问控制(MAC)
hanningxue的博客
09-19 4492
前言      随着云计算的发展,Linux 发行版像 RHEL、Debian、Ubuntu、SUSE 开始广泛的被使用,在很多新上手的用户可能会查看相关教程或者一键包,一般这些教程、一键包的开头第一件事情可能是升级软件,第二件事情就可能是关闭 SELinuxAppArmor,那这两个软件是不是真的就那么影响系统使用吗?这两个软件有什么用?    先说是不是      S
ubuntu18.04 虚拟机安装的AppArmor 错误
07-16 1406
ubuntu18.04 虚拟机安装的AppArmor 错误 打开虚拟机管理器: $ sudo virt-manager 然后安装 os iso,出现 AppArmor 错误,使用下面的命令解决: $ sudo ln -s /etc/apparmor.d/usr.sbin.libvirtd /etc/apparmor.d/disable/ $ sudo apparmor_parser -R /et...
AppArmor
joy
10-03 2256
AppArmor是一个Linux安全模块(LSM)实现基于名字的强制访问控制(MAC)。我该如何开始/停止/重新启动AppArmor的Ubuntu Linux操作系统下或openSUSE/SUSE企业级Linux服务器系统,IBM硬件上运行? AppArmor是一个有效的和易于使用的Linux应用安全系统。 AppArmor的则保护Linux操作系统及应用程序从内部或外部的威胁,甚至零日
UbuntuHelp_AufsRootFileSystemOnUsbFlash - Ubuntu文1
08-03
AUFS在主线内核未被采纳,这可能是因为在某些版本的Ubuntu,它并未成为默认选项。尽管如此,AUFS在Linux社区仍然被广泛使用,因为它提供了对多个文件系统层的联合挂载能力,这在创建可定制的、轻量级的系统...
apparmor:apparmor厨师食谱的开发存储库
02-06
要求平台类的Ubuntu 德比安厨师厨师12.7+食谱没有属性default['apparmor']['disable'] :控制在default.rb配方安装或删除apparmor服务。 默认值为false,这将安装apparmor,启动服务并启用该服务。菜谱default.rb ...
Ubuntu18 映像文件
10-10
9. **安全增强**:包括默认启用AppArmor安全模块,增强了系统的安全性。 10. **Python 3默认**:Ubuntu 18.04开始推荐使用Python 3作为默认的Python版本。 **安装与使用** 1. **创建启动媒体**:使用ISO映像文件...
ubuntu的概要介绍与分析
最新发布
05-08
值得一提的是,在Ubuntu早期版本,Unity曾作为其标志性的桌面环境,但自Ubuntu 18.04 LTS版本起,为了提高稳定性和效率,GNOME重新成为默认选项。 ##### 3. 软件心与apt包管理器 Ubuntu软件心是一个集成的...
apparmor.lists.ubuntu.com.0
02-08
了解了这些,你将能够更好地管理和维护 AppArmor 在 Ubuntu 系统的配置,确保系统的安全性。在处理 "apparmor.lists.ubuntu.com.0-master" 文件时,记得遵循安全最佳实践,定期更新并测试配置以适应不断变化的威胁...
Ubuntu下libvirt 禁用 apparmor的方法
hbsong75的专栏
07-09 5802
Libvirt在做某些事情的时候会被Apparmor阻挡,因此为了确保Libvirt始终有必须的权限,必须禁用apparmor。方法如下: 1.  在编译libvirt的时候选择--without-apparmor 选项; 2.  执行下面的命令为libvirt禁用 apparmor: $ ln -s /etc/apparmor.d/usr.sbin.libvirt
解决ubuntu环境下报apparmor=“DENIED“ operation=“exec“之类的错误
暮暮苒也的博客
02-08 1650
apparmor的权限规则一般默认放在/etc/apparmor.d/目录下,比如tcpdump的规则存放在该目录下的usr.sbin.tcpdump下,其内容有固定的格式,它相当于白名单,规定了该应用对于目录的访问权限。应用要想访问某个目录,则必须在这个文件里加上权限,否则就会报错,比如使用下面的命令: 重启某个服务,这里以docker为例 systemctl restart snap.docker.dockerd 查看日志 journalctl -xe 如果权限不足,会查到报错信息如下: Mar 04
Ubuntu apparmor何方神圣
weixin_33681778的博客
06-12 3418
为什么80%的码农都做不了架构师?>>> ...
apparmor_如何在Ubuntu上创建AppArmor配置文件以锁定程序
culintai3473的博客
09-02 746
apparmorAppArmor locks down programs on your Ubuntu system, allowing them only the permissions they require in normal use – particularly useful for server software that may become compromised. AppArmo...
apparmor_什么是AppArmor?如何确保Ubuntu安全
culingluan4376的博客
09-12 4368
apparmorAppArmor is an important security feature that’s been included by default with Ubuntu since Ubuntu 7.10. However, it runs silently in the background, so you may not be aware of what it is and ...
Ubuntu本地安装MySQL8.0以及常见问题设置方法
Carroll的博客
09-04 4647
quit退出mysql交互模式,去掉之前配置文件加的。输入设置的正确密码就能进入mysql交互模式了。,所以还需要修改与该访问控制系统相关的文件。因为Ubuntu有访问控制系统。直接回车,输密码也直接回车。,再重启mysql(
云原生|kubernetes|apparmor的配置和使用
zsk_john的技术分享专用博客
01-12 2256
AppArmor(Application Armor)是Linux内核的一个安全模块,AppArmor允许系统管理员将每个程序与一个安全配置文件关联,从而限制程序的功能。简单的说,AppArmor是与SELinux类似的一个访问控制系统,通过它你可以指定程序可以读、写或运行哪些文件,是否可以打开网络端口等。作为对传统Unix的自主访问控制模块的补充,AppArmor提供了强制访问控制机制,它已经被整合到2.6版本的Linux内核
Linux 安全缓解机制总结
panhewu9919的博客
06-28 5931
学习资料: linux-kernel-defence-map A Decade of Linux Kernel Vulnerabilities, their Mitigation and Open Problems-2017 The State of Kernel Self Protection-2018 PaX/Grsecurity 代码分析——各种安全机制 Linux每个版本对应的安全更新 linux安全机制的论文 防护研究团队: SELinux (NSA)、AppArmor
区分并举例nginx在Ubuntu20.04apparmor配置文件和Ubuntu20.04docker启用apparmor下配置文件,并比较其优缺点
05-10
1. Nginx在Ubuntu20.04AppArmor配置文件 在Ubuntu 20.04,Nginx的AppArmor配置文件位于/etc/apparmor.d/usr.sbin.nginx。该文件定义了Nginx进程可以访问的文件和目录,以及可以执行的操作。例如,以下是默认的/usr/sbin/nginx AppArmor配置文件的部分内容: ``` /usr/sbin/nginx { ... # Allow read access to all file systems. # This allows Nginx to read static files and logs. / r, /sys/devices/system/cpu/ r, /sys/devices/system/cpu/** r, /proc/stat r, /proc/meminfo r, /proc/loadavg r, /etc/nginx/ r, /etc/nginx/** r, /etc/nginx/sites-enabled/ r, /etc/nginx/sites-enabled/* r, /usr/share/nginx/html/ r, /var/log/nginx/access.log w, /var/log/nginx/error.log w, /run/nginx.pid rw, ... } ``` 该配置文件允许Nginx访问一些必要的系统文件和目录,例如/proc和/sys目录,以及Nginx的配置文件和日志文件。 2. Ubuntu20.04Docker启用AppArmor下的配置文件 在Ubuntu 20.04,Docker默认启用AppArmor来限制容器的权限。Docker的AppArmor配置文件位于/etc/apparmor.d/docker-DEFAULT。该文件定义了Docker容器可以访问的文件和目录,以及可以执行的操作。例如,以下是默认的docker-DEFAULT AppArmor配置文件的部分内容: ``` ... # Allow read access to containers image and registry files. # Use subdirectories to make sure rslave is applied on existing directories /var/lib/docker/ r, /var/lib/docker/** rwk, /var/lib/containerd/ r, /var/lib/containerd/** rwk, /etc/docker/ r, /etc/docker/** r, # Allow rslave on container directories in case the user wants to bind mount them /var/lib/docker/*/ rslave, /var/lib/docker/*/*/ rslave, /var/lib/docker/*/*/*/ rslave, /var/lib/docker/*/*/*/*/ rslave, /var/lib/docker/*/*/*/*/*/ rslave, # Allow containerd to manage its own state /run/containerd/ r, /run/containerd/** rwk, ... ``` 该配置文件允许Docker容器访问一些必要的系统文件和目录,例如/var/lib/docker目录和/etc/docker目录,以及容器需要读取或写入的文件。 3. 优缺点比较 Nginx在Ubuntu20.04AppArmor配置文件和Ubuntu20.04Docker启用AppArmor下的配置文件有以下优缺点: 优点: Nginx AppArmor配置文件: - 可以更加精细地控制Nginx进程的访问权限; - 不会影响其他进程的权限。 Docker AppArmor配置文件: - 可以更好地保护主机系统免受恶意容器的攻击; - 可以更容易地管理多个容器的权限; - 可以更容易地移植Docker容器到其他系统。 缺点: Nginx AppArmor配置文件: - 需要手动编辑,可能需要一些技术知识; - 可能无法完全保护主机系统免受Nginx进程的攻击。 Docker AppArmor配置文件: - 可能会限制容器的功能,例如无法访问某些文件或目录; - 可能会增加管理的复杂性,需要更多的配置和管理工作。 总的来说,Nginx在Ubuntu20.04AppArmor配置文件更适合单独控制Nginx进程的权限,而Docker启用AppArmor下的配置文件更适合保护主机系统免受Docker容器的攻击。具体使用哪种方式取决于实际需求和应用场景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值