linux 进程 禁止访问互联网,linux – 如何通过AppArmor拒绝应用程序访问...

最新推荐文章于 2023-04-20 11:12:29 发布
最新推荐文章于 2023-04-20 11:12:29 发布
阅读量837 收藏
点赞数
文章标签: linux 进程 禁止访问互联网

环境:

OS: Debian GNU/Linux 9.3 (stretch)

Kernel parameter: security=apparmor

这是我的测试配置文件(由aa-genprof创建):

/etc/apparmor.d/usr.bin.telnet.netkit

#include

/usr/bin/telnet.netkit {

#include

/lib/x86_64-linux-gnu/ld-*.so mr,

/usr/bin/telnet.netkit mr,

deny network,

}

生效:

sudo systemctl reload apparmor.service

AppArmor状态:

$sudo aa-status | grep telnet

/usr/bin/telnet

/usr/bin/telnet.netkit

但是当我测试telnet程序时:

$telnet.netkit 127.0.0.1 22

Trying 127.0.0.1...

Connected to 127.0.0.1.

Escape character is '^]'.

SSH-2.0-OpenSSH_7.4p1 Debian-10+deb9u2

不拒绝网络访问.

以下是流程状态:

$ps auxZ | grep -v unconfined | grep telnet

/usr/bin/telnet.netkit (enforce) test 10410 0.0 0.0 19504 2852 pts/1 S+ 18:26 0:00 telnet.netkit 127.0.0.1 22

用netstat:

$netstat -nap | grep telnet

(Not all processes could be identified, non-owned process info

will not be shown, you would have to be root to see it all.)

tcp 0 0 127.0.0.1:56710 127.0.0.1:22 ESTABLISHED 10410/telnet.netkit

任何人都可以帮助找出配置文件有什么问题吗?非常感谢!

PraiseSunMan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux禁止程序访问网络,linux内核强制访问控制--Apparmor
weixin_33586063的博客
05-06 1764
AppArmor(Application Armor)是Linux内核的一个安全模块,AppArmor允许系统管理员将每个程序与一个安全配置文件关联,从而限制程序的功能。简单的说,AppArmor是与SELinux类似的一个访问控制系统,通过它你可以指定程序可以读、写或运行哪些文件,是否可以打开网络端口等。作为对传统Unix的自主访问控制模块的补充,AppArmor提供了强制访问控制机制,它已经被...
禁止程序联网
01-20
禁止程序联网
linux限制程序访问网络,如何阻止在Linux访问某些程序的Internet
weixin_34063855的博客
05-01 3800
我的解决方案恰好是直截了当的.>创建,验证新组;将所需用户添加到此组:>创建:groupadd no-internet>验证:grep no-internet / etc / group>添加用户:useradd -g no-internet username注意:如果您要修改现有用户,则应运行:usermod -a -G no-internet userName检查:su...
linux限制程序访问网络,linux路由器下限制某几个IP连接互联网
weixin_42413455的博客
05-01 527
在有些系统中有这样的需求,希望内部网中的某几个IP地址连接互联网,而又希望这些IP地址不被非法用户盗用。可以通过下面的解决办法实现:方法一:首先使用ipchains或者iptables来设定只允许合法的IP地址连出。对于合法IP建立IP/Mac捆绑。要讨论这个问题我们首先需要了解ARP协议的工作原理,arp协议是地址解析协议(Address Resolution Protocol)的缩写,其作用及...
linux网络和权限,linux 如何创建具有受限网络访问权限的...
weixin_34234983的博客
04-29 320
参见英文答案 > How to restrict internet access for a particular user on the lan using iptables in Linux????????????????????????????????????2个我想创建一个新用户(或组),以便与该用户一起运行的任何应用程序都无法连接到网络.@MichaelKj?rling我已经按照你...
linux禁止软件连接指定网站,利用iptables来配置linux禁止所有端口登陆和开放指定端口...
weixin_42651748的博客
05-03 686
1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。下面是命令实现:iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT DROP再用命令 iptables -L -n 查看 是否设置好, 好看到全部 DROP 了这样的设置好了,我们只是临时的, 重启服务器还是会恢复原来没有设置的状态还要使用 se...
访问控制框架及其在Linux中的应用研究.pdf
09-06
AppArmor使用路径为基础的规则,限制进程可以访问哪些文件,而不是像SELinux那样定义复杂的访问策略。 访问控制框架之间的主要区别在于策略的灵活性、实施的复杂性和管理的难度。例如,SELinux的策略语言较为复杂,...
linux-2.6.32.tar.gz
06-30
解压"linux-2.6.32.tar.gz"后,你会看到一系列源代码文件,包括驱动程序、系统调用接口、进程管理、内存管理、文件系统等多个子系统。开发者可以深入研究这些源代码,了解内核工作原理,甚至进行定制化修改以满足...
Linux文件访问控制技术.pdf
09-07
为解决这些问题,Linux引入了其他访问控制扩展,如强制访问控制(Mandatory Access Control, MAC),如SELinuxAppArmor,它们为系统提供了更严格的安全策略。 理解并熟练运用这些访问控制技术,不仅可以提高Linux...
LINUX核心实施强制访问控制.pdf
09-07
Linux操作系统中,强制访问控制(MAC)是一种增强安全性的机制,它超越了传统的用户权限管理,确保系统资源的访问受到严格的策略约束。在标题和描述中提到的PDF文档,主要探讨了如何在Linux内核中实现MAC,以及这...
oracle linux 11.2.0.4
12-03
2. **安全性增强**:通过集成 SELinuxAppArmor 等安全框架来提升系统安全性。 3. **资源管理**:UEK R5 支持更好的 CPU 资源管理和调度策略,有助于提高多任务处理能力。 4. **硬件支持**:UEK R5 对最新的硬件...
linux 脚本 上网限制,一个linux限制进程的小脚本
weixin_32260467的博客
04-30 200
缘起最近在做一门课程设计,需要实现这样的功能:在linux操作系统中部署一个网站,当网站部署完毕后,监控操作系统中的进程,杀死所有不在白名单中的进程,以防止恶意程序运行。大概搜索了下,没有找到现成可用的解决方案,决定自己实现。设计在linux中有许多系统必须的进程,若将这些进程都纳入白名单则白名单的配置会很繁琐。简单起见,我们选择在操作系统启动完成、稳定运行后再运行限制进程的程序,检测新生进程,若...
Linux限制网络带宽
琦彦
06-09 4805
在本文中,我将描述两种不同的方法来限制Linux上的网络流量。 限制Linux上的应用程序流量(Rate Limit an Application on Linux限制网络流量速率的一种方法是通过一个名为trickle的命令行工具。 通过在程序运行时,预先加载一个速率限制 socket 库 的方法,trickle 命令允许你改变任意一个特定程序的流量。 trickle 命令有一个很好...
使用apparmor限制和允许程序的行为
Linux内核研究者
03-10 327
使用apparmor限制和允许程序的行为
Linux网络基础
weixin_48861962的博客
08-23 189
目录 前言 1.查看网络接口信息ifconfig 2.查看主机名称hostname 2.1临时修改: 2.2永久修改: 3.查看路由表条目route 4.查看网络连接情况netstat 5.获取socket统计信息ss 6.测试网络连接ping 7.跟踪数据包traceroute 8.设置网络参数的方式 8.1临时配置一使用命令调整网络参数 8.2固定设置一通过配置文件修改网络参数 9.设置网络接口参数ifconfig 9.1设置网络接口的IP地址、子网掩码 9.2禁用或者重
AppArmor零知识学习十五、理论与实操(1)
phmatthaus的专栏
04-20 467
AppArmor零知识学习十五、理论与实操(1)
银河麒麟上QT应用创建,写文件没有权限解决办法
qq_40170041的博客
05-31 4616
最近要将QT软件部署到银河麒麟,用的ubuntu16.04交叉编译的,然后在银河麒麟上直接运行qt应用,可以输入中文但是创建和写文件的权限没有,但是软件还需要有这些权限,于是使用了: pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY /usr/local/shixun/wapp 可以在界面输入密码使用root运行程序,但是这又引来一个问题,不能输入中文,fcitx的开发者解释过这个问题:以 Root 运行的程序在一般用户的 X 会话下总是有问题的(一般意
“人力资源+大数据+薪酬报告+涨薪调薪”
最新发布
08-12
人力资源+大数据+薪酬报告+涨薪调薪,在学习、工作生活中,越来越多的事务都会使用到报告,通常情况下,报告的内容含量大、篇幅较长。那么什么样的薪酬报告才是有效的呢?以下是小编精心整理的调薪申请报告,欢迎大家分享。相信老板看到这样的报告,一定会考虑涨薪的哦。
深入解析Linux内核2.X源代码
Linux内核是开源操作系统的核心部分,它负责管理系统的硬件资源,提供底层服务给上层的应用程序。通过分析源代码,我们可以深入了解Linux内核的工作原理、调度机制、内存管理、进程控制以及设备驱动等方面的知识。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值