AppArmor特殊策略文件

最新推荐文章于 2024-07-20 18:38:43 发布
最新推荐文章于 2024-07-20 18:38:43 发布
阅读量616 收藏 12
点赞数 13
分类专栏: lsm 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tangzhangyin/article/details/136734293
版权

${APPARMOR.D}/abstractions/

该目录包含可被配置文件包含的通用配置文件“块”的文件和目录。

这些文件可以看作是访问规则库。abstraction文件可能包括其他抽象(如果合适的话——太频繁会使配置审计不那么清晰)。按照惯例,子目录用于对逻辑相关的抽象进行分组。

AppArmor集成商可以在子目录中提供它们自己的一组抽象和更改。

例如,Ubuntu使用abstractions/ubuntu-browsers. d/包含对Ubuntu中的web浏览器进行分析的抽象。

${APPARMOR.D}/cache/

此目录包含配置文件目录中已预编译和缓存的每个文件的文件。文件名与它正在缓存的配置文件的文件名匹配。

具有相同名称前缀为'.'将包含用于构建缓存二进制文件的文件列表,并可用于验证缓存文件是否有效。例如:

${APPARMOR.D}/usr.bin.evince           # 配置文件
${APPARMOR.D}/cache/usr.bin.evince     # usr.bin.evince配置文件的二进制缓存
${APPARMOR.D}/cache/.usr.bin.evince    # 用于创建usr.bin.evince的文件列表(每行一个)

有一个特殊的.features文件,其中包含构建缓存二进制策略时有关内核特性的信息。这允许在缓存与当前内核支持的缓存不匹配时使其无效。

${APPARMOR.D}/disable/

此目录可能包含指向该${APPARMOR. D}目录中配置文件的符号链接。在这个目录中带有符号链接的配置文件将被initscripts忽略。

${APPARMOR.D}/force-complain/

此目录可能包含指向${APPARMOR. D}目录中的配置文件的符号链接。在这个目录中带有符号链接的配置文件由initscripts以投诉模式加载。

最低0.47元/天 解锁文章
物理与数学
关注
  • 13
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
AppArmor配置文件语法说明
tangzhangyin的专栏
03-15 1817
AppArmor策略语法解析
AppArmor零知识学习十五、理论与实操(1)
phmatthaus的专栏
04-20 462
AppArmor零知识学习十五、理论与实操(1)
apparmor 访问控制详解
WUWEIWUYU的专栏
02-13 2289
apparmor 访问控制详解 AppArmor配置文件描述了授予给定程序的强制访问权限,并且使用AppArmor_parser 执行AppArmor策略模块。 所有资源和程序都需要完整的路径。在配置文件中可能存在任意数量的子文件,它仅受内核内存大小限制。子文件名最长974个字符。子配置文件可用于以特殊方式限制应用程序,或者当希望子进程在系统上不受限制,但父进程需要被限制。hats是以一种特殊的子...
sock 文件方式控制宿主机_浅析Docker运行安全
weixin_39747807的博客
12-31 232
语法:docker run [OPTIONS] IMAGE [COMMAND] [ARG...]二、 Docker 运行安全相关参数2.1 启用 AppArmorAppArmor 主要的作用是设置某个可执行程序的访问控制权限,可以限制程序 读/写某个目录/文件,打开/读/写网络端口等等。Apparmor 的配置文件保存在/etc/apparmor.d/containers/目录下配置文件使用官方文...
linux防止提权,上锁后,如需临时操作,可以解锁后对文件进行修改,之后再上锁 想要更安全,可以把chattr改名转移
12-03
例如,`apparmor`定义了应用程序的访问策略,限制其只能访问特定的文件和目录;而`selinux`则采用强制安全策略,为每个对象(如文件、进程等)分配安全上下文,限制其行为。 在日志监控方面,使用`auditd`服务可以...
linux操作系统加固配置手册借鉴.pdf
11-04
- **配置-7**: 设定复杂度规则,要求口令包含大小写字母、数字和特殊字符的组合。 - **配置-8**: 设置口令最小长度,一般建议至少8个字符以上。 - **配置-9**: 确保口令有最大使用期限,强制用户定期更换。 3. ...
解决用root用户及密码可以直接登陆某LINUX系统.zip
06-06
5. **SELinuxAppArmor**:如果启用,这些强制访问控制(MAC)系统可能阻止SSH的正常运行。检查它们的策略是否允许root用户通过SSH登录。 6. **日志分析**:查看 `/var/log/auth.log` 或 `/var/log/secure` 文件,...
Linux系统安装.zip|Linux系统安装.zip
09-09
大多数现代Linux发行版都能很好地支持常见硬件,但一些较旧或特殊的设备可能需要额外的驱动程序。检查你的CPU、内存、硬盘、显卡和网卡是否被Linux内核支持,可以通过查阅发行版的官方文档或在线社区获取信息。 接...
CentOS下docker1.13.1完整离线rpm包
07-28
本资源是专门为CentOS系统设计的Docker 1.13.1版本的离线安装包,适合在无法连接互联网的特殊环境使用。 Docker 1.13.1是Docker历史上的一个重要版本,包含了多项改进和优化。以下将详细介绍这个版本的关键特性和...
Linux:基础命令学习
最新发布
qq_55038440的博客
07-20 488
实例:-F根据文件类型在列出的文件名称后加一符号。实例: -R 递归显示目录中的所有文件和子目录。. 开头的隐藏文件也会列出。可执行文件则加 "*",用于显示目录文件信息。
LINUX:懒汉单例模式线程池
W2155的博客
07-16 461
创建一个线程,就是要这个线程去完成某种任务的。池化技术就是,提前创建一批线程,有任务这一批线程就会执行。而不是有任务的时候在去创建线程。池化技术有着更高的效率,因为线程都是提前创建好的,直接执行任务。
定制 Linux 内核的意义
地球空间
07-17 294
2. **配置内核**:使用 `make menuconfig` 或 `make xconfig` 配置内核,选择需要支持的硬件和功能。1. **性能优化**:通过定制内核,可以针对特定的硬件或应用场景优化性能,比如减少不必要的驱动支持、优化调度算法等。7. **持续维护**:随着时间的推移,可能需要对内核进行更新和维护,以支持新的硬件和功能。6. **测试和调试**:启动系统,测试新内核的功能和性能,根据需要进行调试和优化。4. **安装内核**:编译完成后,将生成的内核镜像和相关的模块安装到系统中。
Qmi8658a姿态传感器使用心得(2)linux
Starry的博客
07-19 934
COD 原理,CTRL9,自检(详细代码示例)
Linux杂货铺】期末总结篇4:shell编程
聆风吟的博客
07-17 3826
本文主要分享作者本人期末复习的总结,欢迎大家借鉴浏览。
文件Linux下为binary格式在Windows下为utf-8格式
qq_38220334的博客
07-17 334
想着是不是之前遇到的问题,有可能是文件中含有特殊字符,然后用vim命令来编辑这个文件,发现,还真是含有一个特殊字符,然后将它删除掉,文件就变成utf-8格式的文件了。在Windows下和Mac下都是没有问题的,在华为云服务器上也是没问题的(操作系统不是centos),但是在自己搭建的Linux服务器(centos)上是有问题的。用shell或者Python脚本去将这个文件转为utf-8格式的,但是都失败了。
Linux 注意事项
m0_74012211的博客
07-19 417
Linux 与 Windows 是两个相互独立的操作系统,两者有较大差距
Linux(CentOS7)部署PHP-7.2.17源码包
thetender的博客
07-18 1025
LAMP系统安装 通过PHP的源码包部署PHP-7.2.17版本
Linux文件管理常用命令【超详细】
2301_82023330的博客
07-16 723
这篇博客介绍了Linux系统中的常用文件管理命令,包括`ls`、`cd`、`cp`、`mv`、`rm`和`mkdir`等。通过这些命令,用户可以高效地浏览目录、复制和移动文件、删除文件以及创建新目录。文章详细讲解了每个命令的基本用法和常见选项,并通过实例演示了这些命令在实际操作中的应用,帮助读者掌握文件管理的基本技能,提升Linux系统的使用效率。
区分并举例nginx在Ubuntu20.04中apparmor配置文件和Ubuntu20.04中docker启用apparmor下配置文件,并比较其优缺点
05-10
1. Nginx在Ubuntu20.04中的AppArmor配置文件 在Ubuntu 20.04中,Nginx的AppArmor配置文件位于/etc/apparmor.d/usr.sbin.nginx。该文件定义了Nginx进程可以访问的文件和目录,以及可以执行的操作。例如,以下是默认的/usr/sbin/nginx AppArmor配置文件的部分内容: ``` /usr/sbin/nginx { ... # Allow read access to all file systems. # This allows Nginx to read static files and logs. / r, /sys/devices/system/cpu/ r, /sys/devices/system/cpu/** r, /proc/stat r, /proc/meminfo r, /proc/loadavg r, /etc/nginx/ r, /etc/nginx/** r, /etc/nginx/sites-enabled/ r, /etc/nginx/sites-enabled/* r, /usr/share/nginx/html/ r, /var/log/nginx/access.log w, /var/log/nginx/error.log w, /run/nginx.pid rw, ... } ``` 该配置文件允许Nginx访问一些必要的系统文件和目录,例如/proc和/sys目录,以及Nginx的配置文件和日志文件。 2. Ubuntu20.04中Docker启用AppArmor下的配置文件 在Ubuntu 20.04中,Docker默认启用AppArmor来限制容器的权限。Docker的AppArmor配置文件位于/etc/apparmor.d/docker-DEFAULT。该文件定义了Docker容器可以访问的文件和目录,以及可以执行的操作。例如,以下是默认的docker-DEFAULT AppArmor配置文件的部分内容: ``` ... # Allow read access to containers image and registry files. # Use subdirectories to make sure rslave is applied on existing directories /var/lib/docker/ r, /var/lib/docker/** rwk, /var/lib/containerd/ r, /var/lib/containerd/** rwk, /etc/docker/ r, /etc/docker/** r, # Allow rslave on container directories in case the user wants to bind mount them /var/lib/docker/*/ rslave, /var/lib/docker/*/*/ rslave, /var/lib/docker/*/*/*/ rslave, /var/lib/docker/*/*/*/*/ rslave, /var/lib/docker/*/*/*/*/*/ rslave, # Allow containerd to manage its own state /run/containerd/ r, /run/containerd/** rwk, ... ``` 该配置文件允许Docker容器访问一些必要的系统文件和目录,例如/var/lib/docker目录和/etc/docker目录,以及容器需要读取或写入的文件。 3. 优缺点比较 Nginx在Ubuntu20.04中的AppArmor配置文件和Ubuntu20.04中Docker启用AppArmor下的配置文件有以下优缺点: 优点: Nginx AppArmor配置文件: - 可以更加精细地控制Nginx进程的访问权限; - 不会影响其他进程的权限。 Docker AppArmor配置文件: - 可以更好地保护主机系统免受恶意容器的攻击; - 可以更容易地管理多个容器的权限; - 可以更容易地移植Docker容器到其他系统。 缺点: Nginx AppArmor配置文件: - 需要手动编辑,可能需要一些技术知识; - 可能无法完全保护主机系统免受Nginx进程的攻击。 Docker AppArmor配置文件: - 可能会限制容器的功能,例如无法访问某些文件或目录; - 可能会增加管理的复杂性,需要更多的配置和管理工作。 总的来说,Nginx在Ubuntu20.04中的AppArmor配置文件更适合单独控制Nginx进程的权限,而Docker启用AppArmor下的配置文件更适合保护主机系统免受Docker容器的攻击。具体使用哪种方式取决于实际需求和应用场景。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值