CKS-系统强化-POLP(apparmor)

已于 2022-09-30 11:40:26 修改
阅读量739 收藏
点赞数
文章标签: 运维 kubernetes
于 2022-06-22 11:38:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45081220/article/details/125404250
版权

在这里插入图片描述

最小权限原则(POLP)

POLP principle of least privilege,够用就行,不用多给权限

最小特权原则 (POLP) 重要性

减少网络攻击面: 当今,大多数高级攻击都依赖于利用特权凭证(提权)。通过限制超级用户和管理员权限,最小权限执行有助于减少总体网络攻击面。
提高安全性 阻止恶意软件的传播: 通过在服务器或者在应用系统上执行最小权限,恶意软件攻击(例如SQL注入攻击)将很难提权来增加访问权限并横向移动破坏其他软件、设备。
有助于简化合规性和审核 :许多内部政策和法规要求都要求组织对特权帐户实施最小权限原则,以防止对关键业务系统的恶意破坏。最小权限执行可以帮助组织证明对特权活动的完整审核跟踪的合规性。

在团队中实施最小特权原则 (POLP)

• 在所有服务器、业务系统中,审核整个环境以查找特权帐户(例如SSH账号、管理后台账号、跳板机账号;
• 减少不必要的管理员权限,并确保所有用户和工具执行工作时所需的权限;
• 定期更改管理员账号密码;
• 权限审核 确保所有用户只有能完成本职工作的权限;
• 设置所有用户最低权限,根据需要提权;
• 权限分离,管理员和普通用户;
• 监控管理员账号操作行为,告警通知异常活动.

AppArmor限制容器对资源访问

AppArmor(Application Armor) 是一个 Linux 内核安全模块,可用于限制主机操作系统上运行的进程的功能。每个进程都可以拥有自己的安全配置文件。安全配置文件用来允许或禁止特定功能,例如网络访问、文件读/写/执行权限等。类似selinux

Linux发行版内置:Ubuntu、Debian

Apparmor两种工作模式

• Enforcement(强制模式) :在这种模式下,配置文件里列出的限制条件都会得到执行,并且对于违反这些限制条件的程序会进行日志记录。

• Complain(投诉模式):在这种模式下,配置文件里的限制条件不会得到执行,Apparmor只是对程序的行为进行记录。一般用于调试。
AppArmor限制容器对资源访问

部署 apparmor

1.安装apparmor规则生成工具

apt-get install apparmor-profiles apparmor-utils -y

apparmor 的两种规则模式

1、aa-complain  nginx   投诉/学习: 允许并记录配置文件的冲突。对于测试并开发新的配置文件有用途。不需要完全满足规则进程也能运行
2、aa-enforce nginx     强制/受限:强制配置策略及违规记录,需要完全满足规则进程才能运行

常用命令

aa-complain  nginx                     # 使nginx的apparmor模式变更为允许模式
aa-enforce nginx                       # 使nginx的apparmor模式变更为强制模式
aa-logprof                             # 添加运行进程本身需要读取的文件权限,自动添加
apparmor_status                        # 查看已加载的规则
apparmor_parser -q aa-profile.yaml     # -q  安装一条规则 
apparmor_parser -R aa-profile.yaml     # -R 卸载规则
apparmor_parser -r aa-profile.yaml     # -r 规则有修改后重新加载

2.配置apparmor规则来控制nginx

cd /etc/apparmor.d/
root@vms81:/etc/apparmor.d# ls /etc/apparmor.d/
abstractions  disable         local  lxc-containers  tunables           usr.bin.man                      usr.sbin.rsyslogd
cache         force-complain  lxc    sbin.dhclient   usr.bin.lxc-start  usr.lib.snapd.snap-confine.real  usr.sbin.tcpdump
usr.lib.snapd.snap-confine.real
usr.sbin.tcpdump

apparmor 配置文件命名规则,把daemon路径里的/ 变成点.

这里which nginx  ----/usr/sbin/nginx
root@vms81:/etc/apparmor.d# vim usr.sbin.nginx
**规则很繁琐所以要用到apparmor-profiles    apparmor-utils**

为nginx 生成规则文件

root@vms70:/etc/apparmor.d# vim usr.sbin.nginx
# Last Modified: Wed May 11 16:13:48 2022
#include <tunables/global>

/usr/sbin/nginx flags=(complain) {         # 允许模式
  #include <abstractions/base>
**以下定义规则**
  /lib/x86_64-linux-gnu/ld-*.so mr,
  /usr/sbin/nginx mr,

}

apparmor规则如下

allow   /path/ 权限1,    **逗号结束**
deny    /path2/  权限2,
/path3/  权限3,  **没有注明allow还是deny  默认是allow**
deny /data/www/unsefe rw,  **拒绝对unsefe这个目录可读、可写**



root@vms70:/etc/apparmor.d# aa-enforce nginx
Setting /usr/sbin/nginx to enforce mode.

systemctl restart nginx  ---报错 无法重启
Job for nginx.service failed because the control process exited with error code.
See "systemctl status nginx.service" and "journalctl -xe" for details.

**journalctl -xe  查询日志**
root@vms70:/etc/apparmor.d# journalctl -xe |grep nginx
May 12 09:56:00 vms70.rhce.cc audit[90539]: AVC apparmor="STATUS" operation="profile_replace" profile="unconfined" name="/usr/sbinnginx" pid=90539 comm="apparmor_parser"
...

规则过多一个个添加容易漏配,所以用 aa-logprof 命令来添加运行nginx本身需要读取的文件权限

**aa-logprof**
root@vms70:/etc/apparmor.d# aa-logprof
Reading log entries from /var/log/syslog.
Updating AppArmor profiles in /etc/apparmor.d.
Enforce-mode changes:

Profile:    /usr/sbin/nginx
Capability: dac_override
Severity:   9

 [1 - #include <abstractions/lxc/container-base>]
  2 - #include <abstractions/lxc/start-container>
  3 - capability dac_override,
(A)llow / [(D)eny] / (I)gnore / Audi(t) / Abo(r)t / (F)inish
a----s

root@vms70:/etc/apparmor.d# vim usr.sbin.nginx
# Last Modified: Thu May 12 10:02:57 2022
#include <tunables/global>

/usr/sbin/nginx {
  #include <abstractions/base>
  #include <abstractions/lxc/container-base>        # 新增了这个,加载了一些模块,使得nginx本身正常运行时所需要读取的文件都允许

  deny /data/www/unsefe rw,

}

root@vms70:/etc/apparmor.d# systemctl restart nginx   # nginx启动正常

k8s中如何使用apparmor

apt-get install apparmor-utils 
规则的定义:/etc/apparmor.d 
加载的目录:/sys/kernel/security/apparmor/profiles

新增 apparmor 规则

1.配置文件

root@vms82:/etc/apparmor.d# vim aa-profile.yaml
#include <tunables/global>
profile aaprofile  flags=(attach_disconnected) {          # profile   名字  flags=(attach_disconnected)
  #include <abstractions/base>
}

root@vms82:/etc/apparmor.d# apparmor_parser -q aa-profile.yaml

root@vms82:/etc/apparmor.d# apparmor_status |grep aaprofile
   aaprofile

2.pod 的yaml文件支持

root@vms81:~/cks# vim pod1.yaml
apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
    run: web1
  name: web1
  annotations:       # 新增
    container.apparmor.security.beta.kubernetes.io/web1: localhost/aaprofile
spec:
  containers:
  - image: nginx
    imagePullPolicy: IfNotPresent
    name: web1
    resources: {}
    command: ["sh","-c","sheep 1h"]
  dnsPolicy: ClusterFirst
  restartPolicy: Always
status: {}

详解

annotations:        # 新增的
    container.apparmor.security.beta.kubernetes.io/web1: localhost/aaprofile 
**container.apparmor.security.beta.kubernetes.io/关键词1: 关键词2/关键词3**
**关键词1 要与容器的名字一致,指定某个容器**
**关键词2 指的是运行pod所在的worker下的apparmor规则**
**关键词3 指定容器使用哪个apparmor规则**

此时pod是无法运行的,原因是sleep没有权限

root@vms81:~/cks# kubectl logs web1
sh: 1: sheep: not found

运行的worker上修改apparmor 规则,增加sheep使用权限

apparmor 规则文件明细

# apparmor 规则优先级  拒绝的优先级高于允许的优先级
file,                       file允许所有文件读写,如果写了file就是允许了所有的读写操作,然后通过deny 来限定特定的文件的读写
allow /** rw,               * 通配符,但不匹配/     ** 通配符,可以匹配/
[a-z] 和bash里通配符一样
allow /usr/bin/* rwkix,      r --读   w --写   k --锁定   ix --继承执行
** man 5 apparmor.d 可以查看个参数含义**

worker节点操作

root@vms82:/etc/apparmor.d# vim aa-profile.yaml
#include <tunables/global>
profile aaprofile  flags=(attach_disconnected) {
  #include <abstractions/base>
  allow /bin/sleep rwkix,
  # file,
}
**重载**
root@vms82:/etc/apparmor.d# apparmor_parser -r aa-profile.yaml

建议用file, 下面deny来配置规则

root@vms82:/etc/apparmor.d# vim aa-profile.yaml
#include <tunables/global>
profile aaprofile  flags=(attach_disconnected) {
  #include <abstractions/base>
  #include <abstractions/lxc/container-base>         # 允许进程运行所需要的权限
  file,
  deny /bin/sleep rwkix,
}
跳跃音符#3712
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CKS学习笔记--AppArmor
weixin_43394724的博客
12-14 1315
介绍 AppArmor(Application Armor)是Linux内核的一个安全模块,AppArmor允许系统管理员将每个程序与一个安全配置文件关联,从而限制程序的功能。 简单的说,AppArmor是与SELinux类似的一个访问控制系统,通过它你可以指定程序可以读、写或运行哪些文件,是否可以打开网络端口等。作为对传统Unix的自主访问控制模块的补充,AppArmor提供了强制访问控制机制,它已经被整合到2.6版本的Linux内核中。 目前Ubuntu已自带了Apparmor。 AppArmor配置文
CKS1.23 考试题整理(16)-AppArmor
april_4的博客
04-28 1380
题目 在cluster的工作节点上,实施位于/etc/apparmor.d/nginx_apparmor的现有APPArmor配置文件。 编辑位于/home/candidate/KSSH00401/nginx-deploy.yaml的现有清单文件以应用AppArmor配置文件。 最后,应用清单文件并创建其中指定的Pod。 参考 使用 AppArmor 限制容器对资源的访问 | Kubernetes 步骤 1 检查下配置文件 vi /etc/apparmor.d/nginx_ap...
cks 试题
爱死亡机器人
01-16 5990
文章目录1.镜像扫描ImagePolicyWebhook2. sysdig检测pod3. clusterroole4. AppArmor5. PodSecurityPolicy6. 网络策略7. dockerfile检测及yaml文件问题8. pod安全9. 创建SA10. trivy检测镜像安全11. 创建secret12. kube-benct13. gVsior14. 审计15. 默认网络策略 考试信息 2小时 15-20题目 预约时间同CKA,32小时出成绩 满分不到100分,87分或93分,但6
kubernetes CKS 3.2 AppArmor限制容器对资源访问
cloud_engineer的博客
07-07 482
AppArmor(Application Armor) 是一个 Linux 内核安全模块,可用于限制主机操作系统上运行的进程的功能。每个 进程都可以拥有自己的安全配置文件。安全配置文件用来允许或禁止特定功能,例如网络访问、文件读/写/执行权限等。 Linux发行版内置:Ubuntu、Debian......
AppArmor快速入门
wesleyflagon的专栏
06-21 2903
AppArmor是Linux内核的强制访问控制(MAC)一个实现方案,在Ubuntu等发行版上面默认开启。相比SELinux,AppArmor相对简单易用,更加适合日常使用。现在我们以node_exporter为例,介绍快速应用AppArmor的方法。......
CKS - Practise - Immutable.docx
04-29
CKS - Practise Immutable Resource
CKS - Practise - ImageWebHook.docx
04-29
CKS - Practise ImageWebHook Very important topic for CKS exam
CKS - Practise - NetPol.docx
04-29
CKS - Practise - NetPol
CKS-CKS32F103C8T6.pdf
08-12
32位MCU
CKS - Practise - PSP and Audit.docx
04-29
CKS - Practise PSP and Audit
apparmor-docker
05-28
在主机上加载Docker的AppArmor配置文件 用法: docker run -v /sys/kernel/security:/sys/kernel/security --privileged --rm -t ewindisch/apparmor 内核配置 机器必须具有可用并已配置的AppArmor模块。 主机上不需要AppArmor用户空间。 对于某些发行版,可能需要以下内核命令行: apparmor=1 security=apparmor 有关启用AppArmor的信息,请参阅发行版的文档。
PAM AppArmor非默认目录构建和安装
phmatthaus的专栏
04-21 493
PAM AppArmor非默认目录构建和安装
Ubuntu中下载安装AppArmor相关组件
phmatthaus的专栏
04-20 568
Ubuntu中下载安装AppArmor相关组件
openedx 安装 apparmor问题
znznznlt的博客
01-28 548
sudo vim /etc/default/grub  修改 "apparmor=1"  sudo update-grub reboot
云原生|kubernetes|apparmor的配置和使用
zsk_john的技术分享专用博客
01-12 2167
AppArmor(Application Armor)是Linux内核的一个安全模块,AppArmor允许系统管理员将每个程序与一个安全配置文件关联,从而限制程序的功能。简单的说,AppArmor是与SELinux类似的一个访问控制系统,通过它你可以指定程序可以读、写或运行哪些文件,是否可以打开网络端口等。作为对传统Unix的自主访问控制模块的补充,AppArmor提供了强制访问控制机制,它已经被整合到2.6版本的Linux内核中。
apparmor 访问控制详解
WUWEIWUYU的专栏
02-13 2209
apparmor 访问控制详解 AppArmor配置文件描述了授予给定程序的强制访问权限,并且使用AppArmor_parser 执行AppArmor策略模块。 所有资源和程序都需要完整的路径。在配置文件中可能存在任意数量的子文件,它仅受内核内存大小限制。子文件名最长974个字符。子配置文件可用于以特殊方式限制应用程序,或者当希望子进程在系统上不受限制,但父进程需要被限制。hats是以一种特殊的子...
ubuntu mysql无法启动服务器_强制重启Ubuntu服务器后Mysql无法启动
weixin_39771301的博客
01-19 393
强制重启服务器后启动mysql不断报错误“code=exited“,”failed“,系统建议我执行”systemctl status mysql.service“,执行后什么信息都看不出来,只好找下系统日志看看:cat /var/log/syslog看到了一句有用信息:apparmor="DENIED" operation="open" profile="/usr/sbin/mysqld" na...
ubuntu安装mysql时报错缺少apparmor的依赖
蕴重Liu
06-10 2453
ubuntu16.04在安装mysql时提示缺少apparmor的依赖网上的博文大多介绍apparmor和SELinux的前世今生,以及这条安装命令sudo apt-get install apparmor-profiles apparmor-utils上面的命令是在apparmor已存在的前提下才能安装成功建议先使用statua命令查看apparmor的运行状态,若提示找不到命令,说明你的ubu...
Linux安全模块AppArmor总结
yolo_yyh的博客
11-24 4783
Linux的安全模块,除了SELinux还有AppArmor,AppArmor相对来说要简单很多,多用于Ubuntu系统,这篇文章带大家了解AppArmor的策略。
cks 模拟考试环境
最新发布
01-02
cks模拟考试环境是为了帮助学生更好地应对考试,让他们在类似真实考试环境下进行练习和应试。这种模拟考试环境可以让学生更好地了解考试的流程和要求,提高他们的应试能力和心理素质。 首先,cks模拟考试环境可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值