【容器安全系列Ⅴ】- Linux强制访问控制:AppArmor 和 SELinux

最新推荐文章于 2025-03-25 11:26:51 发布
最新推荐文章于 2025-03-25 11:26:51 发布
阅读量1.1k 收藏 10
点赞数 21
分类专栏: 容器 文章标签: 安全 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45581780/article/details/141689462
版权

图片

       在本系列中,我们介绍了各种安全层,这些安全层不仅可以将容器与主机上的其他进程隔离开来,还可以将容器与其底层主机隔离开来。在这篇文章中,我们将讨论 AppArmor 和 SELinux 如何在我们之前讨论过的其他隔离层之外提供额外的限制。

强制访问控制系统

       AppArmor 和 SELinux 是强制访问控制 (MAC) 系统的示例。这些系统与其他安全控制(通常称为自主访问控制(DAC)系统)的不同之处在于,用户通常无法更改其操作。

       文件权限是 DAC 系统的一个示例。文件的所有者可以调整其权限,以允许主机上的任何人修改它。使用 MAC 系统时,用户可能无法修改对他们拥有的资源施加的约束。这些限制甚至包括 root 用户,尽管系统上的 root 用户只需禁用整个 MAC 系统即可绕过此限制。Linux 中的 MAC 系统允许你限制对各种系统资源的访问,以便即使是其他特权进程也无法访问它们。

       虽然可以在任何 Linux 主机上同时使用 AppArmor 或 SELinux,但通常只启用其中一个MAC策略 ,这因不同发行版而异。默认情况下,Debian 衍生系统使用 AppArmor,而基于 Red Hat 的系统则使用 SELinux。

AppArmor

       AppArmor 通过定义可应用于主机上运行的进程的不同配置文件来实现其控制能力。这些配置文件可以限制对许多资源的访问,包括文件、网络流量和 Linux capabilities。

       在安装了 AppArmor 的系统上,我们可以开始探索如何使用 sudo aa-status 命令来使其发挥作用。这将显示有关 AppArmor 配置和状态的信息。

图片

aa-status 的输出

       从这个输出中,我们可以看到几个有趣的信息:

  • AppArmor 已加载并正常工作。

  • 系统上定义了 34 个配置文件。

  • 目前,没有进程具有启用的 AppArmor 配置文件。

       从容器化的角度来看,配置文件列表中最有趣的部分是 do

最低0.47元/天 解锁文章
linuxselinux强制访问控制
Ying_smile的博客
05-16 5298
selinux selinux强制访问控制的一种策略,可以指明某一个进程访问哪些资源,在传统的linux中,一切皆文件,由用户、组权限来控制访问,在selinux中,一切皆对象,由存放在扩展属性领域的安全元素控制访问,所有文件、端口、进程都具备安全上下文 selinux影响着:(1)程序访问文件(2)程序访问功能(微信),进程本身功能,开关 查询selinux状态 命令:g...
apparmor overview
07-26
介绍apparmor的幻灯片。apparmor也是一个基于LSM的安全操作系统实现,与SELINUX的主要区别在于其本身是基于文件路径名来实现访问控制的。而SELINUX是基于标记的
增强Linux内核中访问控制安全的方法
09-15
主要给大家介绍了关于增强Linux内核中访问控制安全的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
AppArmor 使用说明
最新发布
heyongshen的博客
03-25 1178
介绍apparmor基础使用
Apparmor——Linux内核中的强制访问控制系统
02-24 536
AppArmor 因为最近在研究OJ(oline judge)后台的安全模块的实现,所以一直在研究Linux下沙箱的东西,同时发现了Apparmor可以提供访问控制AppArmor(Application Armor)是Linux内核的一个安全模块,AppArmor允许系统管理员将每个程序与一个安全配置文件关联,从而限制程序的功能。简单的说,AppArmor是与SELinux...
Apparmor--linux内核强制访问控制
jingemperor的博客
09-06 734
AppArmor(Application Armor)是Linux内核的一个安全模块,AppArmor允许系统管理员将每个程序与一个安全配置文件关联,从而限制程序的功能。简单的说,AppArmor是与SELinux类似的一个访问控制系统,通过它你可以指定程序可以读、写或运行哪些文件,是否可以打开网络端口等。作为对传统Unix的自主访问控制模块的补充,AppArmor提供了强制访问控制机制,它已经被整合到2.6版本的Linux内核中。 目前Ubuntu已自带了Apparmor, 可以在手册中获得相应的资料。
Linux桌面需要强制访问控制,Linux强制访问控制机制模块详细描述(1)
weixin_39524574的博客
05-10 174
原标题:Linux强制访问控制机制模块详细描述(1)2 详细分析2.1模块功能描述对于SELinux中实现的MLS,其主要通过安全级别对系统资源的访问进行限制,相关操作定义在security/selinux/ss/mls.c、security/selinux/ss/context.h及security/selinux/ss/mls_types.h中,对于这些操作下面会进行详细介绍,这里不再赘述。2...
Ubuntu Linux网络服务安全:防火墙、SELinuxAppArmor
作为广泛采用的操作系统之一,Ubuntu Linux在面临各种网络服务安全风险的同时,也提供了丰富的安全工具功能,以保护其网络服务的安全性。 ## 1.1 互联网威胁的现状 当前,互联网上存在着各种威胁攻击手段,...
双保险策略:Linux安全模块AppArmorSELinux的协同工作
![双保险策略:Linux安全模块AppArmorSELinux的协同工作](https://img-blog.csdnimg.cn/b13086db583347dfa6afb0ba130bcd08.png) # 1....安全模块如AppArmorSELinux能够帮助系统管理员控制应用程
Linux服务器安全加固:深入了解Selinux安全机制
它通过强制访问控制(MAC)来提升系统的安全性,可以有效防范潜在的安全威胁,保护系统免受攻击。本文旨在深入探讨 SELinux 的工作原理、配置方法以及实际应用,帮助读者更好地了解利用 SELinux 来加固服务器安全...
基于Linux强制访问控制研究.pdf
09-06
基于Linux强制访问控制研究.pdf
apparmor-docker
05-28
在主机上加载Docker的AppArmor配置文件 用法: docker run -v /sys/kernel/security:/sys/kernel/security --privileged --rm -t ewindisch/apparmor 内核配置 机器必须具有可用并已配置的AppArmor模块。 主机上不需要AppArmor用户空间。 对于某些发行版,可能需要以下内核命令行: apparmor=1 security=apparmor 有关启用AppArmor的信息,请参阅发行版的文档。
Linux强制访问控制selinux讲解
雷雪松
04-06 888
SELinux 默认安装在 Fedora Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。有些问题可能就因为这个引起的。查看SELinux状态: 1、/usr/sbin/sestatus -v ##如果SELinux status参数为enabled即为开启状态 SELinux status: enabled 2、getenforce ##也可以用...
Linux桌面需要强制访问控制,RHCSA 系列(十三): 在 RHEL 7 中使用 SELinux 进行强制访问控制...
weixin_33651906的博客
05-10 258
RHCSA 认证:SELinux 精要控制文件系统的访问尽管作为第一级别的权限访问控制机制是必要的,但它们同样有一些局限,而这些局限则可以由安全增强 Linux(Security Enhanced Linux,简称为 SELinux)来处理。这些局限的一种情形是:某个用户可能通过一个泛泛的 chmod 命令将文件或目录暴露出现了安全违例,从而引起访问权限的意外传播。结果,由该用户开启的任意进程...
Linux桌面需要强制访问控制,闲话Linux系统安全(二)——强制访问控制(MAC)
weixin_30691643的博客
05-10 380
安全秘笈第二式——不安全的特殊权限强制访问控制(MAC)在DAC的机制中,不管是所有权加权限的管理办法,还是文件系统访问控制列表(facl),都是非常强大的访问控制机制,均可以对文件资源进行比较有效的访问控制。但DAC的自主性太强,可以说文件资源的安全在很大的程度上取决于使用者个人的意志,因此这种安全似乎就被主观化了。尤其是对于root用户而言,不管是权限所有权的限制,还是facl的管理控制,...
linux访问控制机制,Linux强制访问控制机制模块代码分析报告(一)
weixin_33601402的博客
05-14 415
原标题:Linux强制访问控制机制模块代码分析报告(一)总体描述概述强制访问控制机制是访问控制机制的一种,主要用于根据主体客体的安全属性来限制主体对客体的访问,从而对系统的安全进行防护,该机制是强加给主体的,当主体对客体进行访问时,系统强制要求其必须满足强制访问控制策略,其原理如图1-1所示。对于强制访问控制机制,有多种模型可以用来描述其功能,其中最具代表性的就是Bell-LaPadula模型(...
linux的模块机制简析,Linux强制访问控制机制模块代码分析报告(八)
weixin_34329350的博客
05-13 139
原标题:Linux强制访问控制机制模块代码分析报告(八)今天概要的介绍一下mls_type.h头文件mls_type.h文件描述对于mls_type.h文件,其完整文件名为security/selinux/ss/mls_types.h,该文件定义了MLS策略使用的类型。主要变量定义该文件定义了三个宏,分别为:mls_level_incomp()、mls_evel_between()及mls_ran...
AppArmor
joy
10-03 2349
AppArmor是一个Linux安全模块(LSM)实现基于名字的强制访问控制(MAC)。我该如何开始/停止/重新启动AppArmor的Ubuntu Linux操作系统下或openSUSE/SUSE企业级Linux服务器系统,IBM硬件上运行? AppArmor是一个有效的易于使用的Linux应用安全系统。 AppArmor的则保护Linux操作系统及应用程序从内部或外部的威胁,甚至零日
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

星尘安全

你的鼓励将是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值