AppArmor配置文件语法说明

最新推荐文章于 2024-05-21 11:29:47 发布
VIP文章 最新推荐文章于 2024-05-21 11:29:47 发布
阅读量1.7k 收藏 53
点赞数 39
分类专栏: lsm 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tangzhangyin/article/details/136715297
版权

AppArmor策略是使用一种友好的配置文件语言创建的,然后将其编译为二进制策略以加载到内核中。

AppArmor策略存储在/etc/ AppArmor .d/目录下的一组文件中。

AppArmor策略被分成几个配置文件,这些配置文件通常被设计用来限制特定的应用程序。

配置文件将声明访问规则以允许对资源的访问,当配置文件中没有匹配的规则时,使用日志记录会隐式拒绝访问。

配置布局

AppArmor的配置设置存储在两个位置:

        全局设置和系统设置保存在/etc/apparmor/中;

        用户设置存储在${HOME}/.apparmor/中;

系统策略存储在/etc/apparmor. d/目录中,当实现用户策略时将存储在${HOME}/.apparmor.d/中(${APPARMOR.D}用于引用这两个目录)。

${APPARMOR.D}目录包含一组目录和配置文件。目录中的所有文件都被视为配置文件,除非它们符合以下任何一种模式,在这种情况下,这些文件将被忽略。

  • *~
  • *.bak
  • *.rpm*
  • *.dpkg-{bak,dist,new,old}

在${APPARMOR.D}下列目录有特殊意义:

  • ${APPARMOR.D}/abstractions/
  • ${APPARMOR.D}/apache2.d/
  • ${APPARMOR.D}/cache/- precompiled binary policy files
  • ${APPARMOR.D}/disable/- symlinks to profiles to disable
  • ${APPARMOR.D}/force-complain/- symlinks to profiles to set to complain mode
  • ${APPARMOR.D}/libvirt/
  • ${APPARMOR.D}/local/
  • ${APPARMOR.D}/namespaces/
  • ${APPARMOR.D}/pam/
  • ${APPARMOR.D}/tunables/

根据您的操作系统供应商和版本,您的系统可能有上述部分或全部目录。

配置文件

配置文件以配置文件的名称开头,后跟一个可选的flags字段,然后是:

一个开头 {

        后跟配置文件的规则,最后以结束

如果配置文件名称不以/开头,则应在前面加上关键字profile。例如:

/usr/bin/firefox {
    # profile contents
 }

 /usr/bin/firefox flags=(complain) {
    # profile contents
 }

 profile /usr/bin/ {
    # profile contents
 }

 profile user1 {
    # profile contents
 }

配置文件名称可以包含文件规则通配字符,以允许它们应用于多个可执行文件,请参阅文件通配(下面)了解详细信息。

注释

注释是行导向的,以#开始。在行尾跟随“#”的文本将被忽略(#include规则除外)。例如:

#  Comment 1
 #  Comment 2

 profile example {  # comment 3
    # comment 4
    /home/foo rw,  # comment at the end of a file rule
 }

Include Rules

策略文件可以包含其他文件来共享文本段。

AppArmor include遵循C include约定:

它们以#include开头,对于相对于集合包含目录的文本夹 ,后面跟着 < > ;相对于当前文件的文件,后面跟着 " "。

#是可选的,不应该在较新的配置文件中使用。例如:

 #include &l
最低0.47元/天 解锁文章
物理与数学
关注
  • 39
    点赞
  • 53
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
apparmor配置文件:某些应用程序的AppArmor安全配置文件
02-06
apparmor配置文件:某些应用程序的AppArmor安全配置文件
Docker 生产环境之安全性 - 适用于 Docker 的 AppArmor 安全配置文件
kikajack的博客
03-17 4191
原文地址AppArmor(Application Armor,应用程序防护)是一个 Linux 安全模块,可保护操作系统及其应用程序免受安全威胁。要使用它,系统管理员会将 AppArmor 安全配置文件与每个程序相关联。Docker 希望找到加载并执行的 AppArmor 策略。Docker 自动为容器生成并加载名为 docker-default 的默认配置文件。在 Docker 1.13.0 和更
AppArmor零知识学习二、相识
phmatthaus的专栏
04-14 599
AppArmor零知识学习二、相识
apparmor 初识(一)
WUWEIWUYU的专栏
02-10 5361
AppArmor(Application Armor)是Linux内核的一个安全模块,AppArmor允许系统管理员将每个程序与一个安全配置文件关联,从而限制程序的功能。简单的说,AppArmor是与SELinux类似的一个访问控制系统,通过它你可以指定程序可以读、写或运行哪些文件,是否可以打开网络端口等。作为对传统Unix的自主访问控制模块的补充,AppArmor提供了强制访问...
bane:用于Docker容器的自定义和更好的AppArmor配置文件生成器
01-30
“审查AppArmor配置文件请求请求是我生存的祸根” 杰西·弗雷泽(Jess Frazelle) 目录安装二进制文件有关二进制文件的安装说明,请访问。通过围棋$ go get github.com/genuinetools/bane用法$ bane -hbane - ...
spotify-apparmor:适用于Linux Spotify客户端的AppArmor配置文件
04-29
Spotify-apparmor Linux Spotify客户端的AppArmor配置文件。 已在Ubuntu GNOME 14.04.3 LTS,15.04和15.10上使用Spotify 0.9.17.1测试。 在Ubuntu 14.04及更早版本上,请注释掉配置文件的最后一行。
psp-apparmor:Kubewarden Pod安全策略,用于控制AppArmor配置文件的使用
04-02
政策如何运作该策略通过定义允许的AppArmor配置文件的白名单来起作用。 然后在创建和更新时检查Pod,以确保仅使用批准的Profile。 如果未定义AppArmor配置文件,Kubernetes将把最终选择权留给基础容器运行时。 这将...
apparmor_monkeys:适用于python的更安全,更简单的AppArmor配置文件
05-07
apparmor_monkeys Monkeypatches以最小化在AppArmor下运行python所需的权限。 这是做什么的? 假设您已经编写了一个简单的Django应用程序。 也许您只是遵循了Django教程。 您的所有代码要做的只是一点数据库查询。...
selinux的安全策略可以影响ntp的方式
ALex_zry的博客
05-18 236
默认情况下,NTP使用UDP端口123进行通信,SELinux 策略需要允许NTP守护进程访问该端口。例如,可以创建一个策略,只允许受信任的NTP服务器与本地系统通信。:SELinux 提供了详细的日志和审计功能,可以帮助管理员监控和分析NTP守护进程的行为,以及检测任何潜在的安全问题。:SELinux 还可以限制NTP守护进程可以执行的操作,例如,是否可以打开套接字、是否可以读取或写入特定的设备等。:如果SELinux策略设置得太严格,可能会与NTP的正常操作发生冲突,导致NTP无法正常同步时间。
linux---进程通信
m0_74979625的博客
05-17 556
提示:以下是本篇文章正文内容,下面案例可供参考。
Linux动静态库
2301_80163789的博客
05-14 629
在程序翻译的链接阶段,其实就是把一堆.o文件链接在一起形成.exe文件。如果一个程序中需要链接很多个.o文件,那么这些.o文件就需要被打包才方便管理,**库文件本质就是把.o文件打包。**库文件是一种提高开发效率的手段。对于静态库,使用静态库形成可执行程序后,静态库被加载到了可执行程序的代码里,不需要让系统知道静态库在哪里;但对于动态库,由于动态库不加载到可执行程序里,而是动态加载到内存中,所以使用动态库要告诉系统动态库在哪(因为是系统来加载动态库)。动态库在编译时代码不会被复制到可执行文件中,而是。
操作系统 实验13 批处理操作接口3:引用与命令替换
m0_63093530的博客
05-14 155
结果:第一个和第三个命令是错的,第二个和第四个命令是对的。echo "这是命令替换形式1...$date1"echo "$sv ++++加上另一些字符!2、输出字符串“China's panda”命令:echo China\'s panda。6、将命令date执行结果赋予变量date1。7、将命令date执行结果赋予变量date2。1、输出字符串“$Dollar”命令:echo \$Dollar。命令:date2=$(date)命令:date1=`date`
linux centos stream 9 定时任务
qq_36142959的博客
05-19 770
定时任务,也称为计划任务,指在规定时间执行某项任务。在各操作系统中都有此功能,如Windows下的计划任务:定时关机等。linux用户定时任务和系统定时任务是在Linux操作系统中用于自动执行特定任务的机制。它们基于cron(cron daemon)服务来完成的。cron是linux系统中以后台进程模式周期性执行命令或指定程序的服务软件。默认情况下,安装完linux操作系统之后,cron服务软件便会启动,服务对应的守护进程名字为crond。
linux查看硬盘信息
beck_li的博客
05-17 167
1、 查看挂接的分区状态 6 2、查看硬盘和分区分布 6 3、查看硬盘和分区的详细信息 6 4、查看挂接的分区状态 6 5、查看硬盘使用情况 6 6、硬盘检测命令smartctl 6
Linux|如何在 awk 中使用流控制语句
最新发布
冷冻工厂
05-21 275
对于上面的形式,如果条件 1 为 true,则执行 actions1 并退出 if 语句,否则评估条件 2,如果为 true,则执行 actions2 并退出 if 语句。当您从 Awk 系列一开始回顾我们迄今为止介绍的所有 Awk 示例时,您会注意到各个示例中的所有命令都是按顺序执行的,即一个接一个。这里,该方法简单地定义为使用计数器来控制循环执行,首先需要初始化计数器,然后根据测试条件运行它,如果为真,则执行操作,最后递增计数器。条件是一个 Awk 表达式,操作是条件为真时执行的 Awk 命令行。
Linux的基础指令
asdssadddd的博客
05-14 946
常用选项:-f 或 --force 强行复制文件或目录, 不论目的文件或目录是否已经存在.-i 或 --interactive覆盖文件之前先询问用户.-r递归处理, 将指定目录下的文件与子目录一并处理. 若源文件或目录的形态, 不属于目录或符号链接, 则一律视为普通文件处理.-R 递归处理, 将指定目录下的文件及子目录一并处理.
区分并举例nginx在Ubuntu20.04中apparmor配置文件和Ubuntu20.04中docker启用apparmor下配置文件,并比较其优缺点
05-10
1. Nginx在Ubuntu20.04中的AppArmor配置文件 在Ubuntu 20.04中,Nginx的AppArmor配置文件位于/etc/apparmor.d/usr.sbin.nginx。该文件定义了Nginx进程可以访问的文件和目录,以及可以执行的操作。例如,以下是默认的/usr/sbin/nginx AppArmor配置文件的部分内容: ``` /usr/sbin/nginx { ... # Allow read access to all file systems. # This allows Nginx to read static files and logs. / r, /sys/devices/system/cpu/ r, /sys/devices/system/cpu/** r, /proc/stat r, /proc/meminfo r, /proc/loadavg r, /etc/nginx/ r, /etc/nginx/** r, /etc/nginx/sites-enabled/ r, /etc/nginx/sites-enabled/* r, /usr/share/nginx/html/ r, /var/log/nginx/access.log w, /var/log/nginx/error.log w, /run/nginx.pid rw, ... } ``` 该配置文件允许Nginx访问一些必要的系统文件和目录,例如/proc和/sys目录,以及Nginx的配置文件和日志文件。 2. Ubuntu20.04中Docker启用AppArmor下的配置文件 在Ubuntu 20.04中,Docker默认启用AppArmor来限制容器的权限。Docker的AppArmor配置文件位于/etc/apparmor.d/docker-DEFAULT。该文件定义了Docker容器可以访问的文件和目录,以及可以执行的操作。例如,以下是默认的docker-DEFAULT AppArmor配置文件的部分内容: ``` ... # Allow read access to containers image and registry files. # Use subdirectories to make sure rslave is applied on existing directories /var/lib/docker/ r, /var/lib/docker/** rwk, /var/lib/containerd/ r, /var/lib/containerd/** rwk, /etc/docker/ r, /etc/docker/** r, # Allow rslave on container directories in case the user wants to bind mount them /var/lib/docker/*/ rslave, /var/lib/docker/*/*/ rslave, /var/lib/docker/*/*/*/ rslave, /var/lib/docker/*/*/*/*/ rslave, /var/lib/docker/*/*/*/*/*/ rslave, # Allow containerd to manage its own state /run/containerd/ r, /run/containerd/** rwk, ... ``` 该配置文件允许Docker容器访问一些必要的系统文件和目录,例如/var/lib/docker目录和/etc/docker目录,以及容器需要读取或写入的文件。 3. 优缺点比较 Nginx在Ubuntu20.04中的AppArmor配置文件和Ubuntu20.04中Docker启用AppArmor下的配置文件有以下优缺点: 优点: Nginx AppArmor配置文件: - 可以更加精细地控制Nginx进程的访问权限; - 不会影响其他进程的权限。 Docker AppArmor配置文件: - 可以更好地保护主机系统免受恶意容器的攻击; - 可以更容易地管理多个容器的权限; - 可以更容易地移植Docker容器到其他系统。 缺点: Nginx AppArmor配置文件: - 需要手动编辑,可能需要一些技术知识; - 可能无法完全保护主机系统免受Nginx进程的攻击。 Docker AppArmor配置文件: - 可能会限制容器的功能,例如无法访问某些文件或目录; - 可能会增加管理的复杂性,需要更多的配置和管理工作。 总的来说,Nginx在Ubuntu20.04中的AppArmor配置文件更适合单独控制Nginx进程的权限,而Docker启用AppArmor下的配置文件更适合保护主机系统免受Docker容器的攻击。具体使用哪种方式取决于实际需求和应用场景。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值