使用apparmor限制和允许程序的行为

已于 2023-03-12 11:03:49 修改
阅读量275 收藏
点赞数
分类专栏: Linux程序员 文章标签: linux 系统安全
于 2023-03-10 09:21:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47763623/article/details/129435804
版权

为程序应用apparmor策略

例如, 限制/bin/touch, 让touch/tmp/目录下的所有文件只读, 步骤如下

/etc/apparmor.d/中新建一个配置文件, 文件名最好是bin.touch, 这是因为apparmor的约定是为每一个程序使用一个配置文件, 配置文件的路径就是程序的路径把/替换成., 此约定应该不是强制的, 我测试发现使用任意配置文件名都可以, 只要配置文件里面的内容正确即可

配置文件内容如下, 注意: 要限制的程序不能是软连接, 必须跟踪到目标文件, 否则规则无效

#include <tunables/global>

/bin/touch {
  #include <abstractions/base>
  /tmp/** r,
}

使用apparmor_parser /etc/apparmor.d/bin.touch把配置通知给驱动即可, 此时touch /tmp/xxx会提示被拒绝, dmesg可以看到拒绝日志

如果之后又修改了配置文件内容可以使用/etc/init.d/apparmor reload重新加载配置文件

使用cat /sys/kernel/security/apparmor/profiles可以查看驱动应用了哪些配置文件

配置文件简介

apparmor配置文件使用的是一种说明性语言编写, 配置文件中的条目的顺序是不重要的, 你可以把所有配置都写到一个文件里面, 也可以分开写成多个文件然后会用#include包含其他文件; 最终, 这个策略文件会被编译成架构独立的二进制文件通知到内核

配置文件中include的路径是相对于/etc/apparmor.d/的, 例如include <abstructions/base>文件在/etc/apparmor.d/abstructions/base

配置文件格式

/bin/touch {...}

其中/bin/touch是程序的全路径, 注意: 如果是软连接要跟踪到目标文件
{...}中填写具体的规则, 例如/tmp/** r,/tmp/目录下的说有文件都只读

详细配置文件格式见参考资料

参考资料

https://manpages.ubuntu.com/manpages/jammy/en/man5/apparmor.d.5.html
https://manpages.ubuntu.com/manpages/jammy/en/man8/apparmor_parser.8.html
https://manpages.ubuntu.com/manpages/jammy/en/man7/apparmor.7.html
配置文件组件和语法
https://zhuanlan.zhihu.com/p/547772872

内核程序员kevin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linuxapparmor小记
zclinux的博客
10-09 1382
这是一个linux的内核安全模块,是一个MAC(强制控制存取)系统,和Selinux类似的一种访问控制系统,每个进程都可以相应的有自己的安全配置文件,这文件里面用来指定允许或者禁止某种功能,例如网络端口、访问、文件相关的读写以及执行等,比如linux发行版unbuntu、debian等都是内置的。能限制程序在一组有限的资源,那就能限制容器对资源的访问。需要安装软件包。
AppArmor零知识学习一、初识
phmatthaus的专栏
04-13 663
AppArmor零知识学习一、初识
linux 进程 禁止访问互联网,linux – 如何通过AppArmor拒绝应用程序访问...
weixin_29706315的博客
04-29 809
环境:OS: Debian GNU/Linux 9.3 (stretch)Kernel parameter: security=apparmor这是我的测试配置文件(由aa-genprof创建):/etc/apparmor.d/usr.bin.telnet.netkit#include /usr/bin/telnet.netkit {#include /lib/x86_64-linux-gnu/l...
云原生|kubernetes|apparmor的配置和使用
zsk_john的技术分享专用博客
01-12 2167
AppArmor(Application Armor)是Linux内核的一个安全模块,AppArmor允许系统管理员将每个程序与一个安全配置文件关联,从而限制程序的功能。简单的说,AppArmor是与SELinux类似的一个访问控制系统,通过它你可以指定程序可以读、写或运行哪些文件,是否可以打开网络端口等。作为对传统Unix的自主访问控制模块的补充,AppArmor提供了强制访问控制机制,它已经被整合到2.6版本的Linux内核中。
[笔记]重新加载apparmor服务
BLOCKGOLD.E的博客
09-12 2440
16.04 MySQL将不会启动,因为 AppArmor? 文章标签:apparmorSTA 问题: 我正在 Kubuntu 16.04上安装 mysql-server-5.7,但我是 Having的麻烦。 sudo apt install mysql-server 给出以下输出。 Setting up mysql-server-5.7 (5.7.18-0ubuntu0...
apparmor配置文件:某些应用程序AppArmor安全配置文件
02-06
apparmor配置文件:某些应用程序AppArmor安全配置文件
apparmor:apparmor厨师食谱的开发存储库
02-06
Apparmor食谱 默认配方将安装和管理AppArmor服务,或者根据default['apparmor']['disable']属性禁用和删除AppArmor。 还包括用于管理AppArmor策略的自定义资源(LWRP)。要求平台类的Ubuntu 德比安厨师厨师12.7+食谱...
docker-sec:Docker容器的自动AppArmor管理
05-09
Docker容器的自动AppArmor管理 用法 要使用docker-sec,只需通过添加后缀-sec即可使用docker命令。 例如,要启动新容器,请运行以下命令: docker-sec run --name safe-nginx -p 80:80 nginx 要使用docker-sec用户...
bane:用于Docker容器的自定义和更好的AppArmor配置文件生成器
01-30
祸根 用于Docker容器的AppArmor配置文件生成器。 基本上,比手动创建一个更好的AppArmor配置文件,因为谁会这样做。 “审查AppArmor配置文件请求请求是我生存的祸根” 杰西·弗雷泽(Jess Frazelle) 目录安装二进制...
apparmor-profiles
04-16
我的概要文件都没有使用基本系统抽象。 “抽象”用于我的自定义抽象。 可能很少,但是我主要是使它们具有强化的权限,而无需在每个配置文件中复制粘贴相同的内容。 “ Tunables”用于我的自定义可调参数,目前...
Linux安全模块AppArmor总结
yolo_yyh的博客
11-24 4783
Linux的安全模块,除了SELinux还有AppArmor,AppArmor相对来说要简单很多,多用于Ubuntu系统,这篇文章带大家了解AppArmor的策略。
kubernetes--AppArmor限制容器对资源访问
m0_57911290的博客
01-16 8595
AppArmor(ApplicationArmor)是一个Linux内核安全模块,可用于限制主机操作系统上运行的进程的功能。每个进程都可以拥有自己的安全配置文件。安全配置文件用来允许或禁止特点功能,例如网络访问、文件读/写/执行权限等linux发行版内置:Ubuntu、Debian 在cents中是selinux,相比于linux更易于使用
kubernetes之Apparmor
qq_40859395的博客
01-02 739
容器运行使用的是宿主机的CPU、内存、内核等资源。在容器中的操作也和影响到操作系统上,同样,在操作系统中的漏洞也肯恩影响到容器的运行。例如,容器运行时和加载底层操作系统的linux内核中的模块,如果宿主机linux的内核中加载了有扣动的模块,则会影响到容器的安全,所以我们也需要在操作系统层面进行加固。 一、最小权限原则 最小权限原则(Principle of least privilege,POLP):是一种信息安全概念,即为用户提供执行其工作职责的最小权限等或许可。 最小权限原则被广泛认为是
MySQL5.7开多实例指导
bushuwei的博客
09-12 674
一、mysql多实例原理   在一台服务器上,mysql服务开启多个不同的端口,运行多个服务进程。他们通过不同的 socket来监听不同的端口互不干扰地运行。   二、开发环境    ubuntu16.04.5LTS/i5/8G/500G/64位/mysql5.7.23/php7/apache2   三、配置步骤   1、创建mysql实例数据存储目录 cd /var/li...
二十五、K8s系统强化1- 系统安全apparmor
tushanpeipei的博客
12-13 3338
使用apparmor保护K8s集群
Apparmor--linux内核强制访问控制
jingemperor的博客
09-06 608
AppArmor(Application Armor)是Linux内核的一个安全模块,AppArmor允许系统管理员将每个程序与一个安全配置文件关联,从而限制程序的功能。简单的说,AppArmor是与SELinux类似的一个访问控制系统,通过它你可以指定程序可以读、写或运行哪些文件,是否可以打开网络端口等。作为对传统Unix的自主访问控制模块的补充,AppArmor提供了强制访问控制机制,它已经被整合到2.6版本的Linux内核中。 目前Ubuntu已自带了Apparmor, 可以在手册中获得相应的资料。
Apparmor介绍与设置
A_sungirl的专栏
03-15 6545
一. apparmor 简介文章 AppArmor是一个高效和易于使用Linux系统安全应用程序AppArmor对操作系统和应用程序所受到的威胁进行从内到外的保护,甚至是未被发现的0day漏洞和未知的应用程序漏洞所导致的攻击。AppArmor安全策略可以完全定义个别应用程序可以访问的系统资源与各自的特权
apparmor_什么是AppArmor?如何确保Ubuntu安全?
culingluan4376的博客
09-12 4335
apparmorAppArmor is an important security feature that’s been included by default with Ubuntu since Ubuntu 7.10. However, it runs silently in the background, so you may not be aware of what it is and ...
如何判断docker里的apparmor 和Ubuntu自带的
最新发布
05-10
要判断 Docker 是否启用了 AppArmor,可以使用以下命令...Ubuntu 自带的 AppArmor 用于保护主机上的进程和文件系统,而 Docker 使用AppArmor 则用于保护容器中的进程和文件系统。因此,两者的配置和使用方式也不同。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值