Как AppArmor справляется с непрофилированными программами?

7

Я настроил и настроил AppArmor в Ubuntu, и мне хотелось бы узнать, как AppArmor занимается пакетами и приложениями, у которых нет профиля AppArmor?

После установки пакета с sudo apt-get install apparmor-profiles у меня есть 175 профилей, которые загружаются из aa-status

Я не могу себе представить, что на моем ящике установлено только 175 программ, и я хотел бы знать, что делает AppArmor для предотвращения нарушений безопасности в программах, у которых нет профиля.

    
задан humanityANDpeace 19.12.2012 в 14:06
источник

2 ответа

3

Включение в Ссылка Часто задаваемые вопросы любая программа, которая не имеет профиля, в основном незащищена / без ограничений и может делать какие-либо вред в Ubuntu, почти так же, как если бы не было никакого AppArmor в первую очередь

    
ответ дан humanityANDpeace 19.12.2012 в 14:10
2

Во-первых, фон AppArmor:

  

Модель безопасности AppArmor предназначена для привязки атрибутов управления доступом к программам, а не к пользователям.

     
    

Профили AppArmor могут быть в одном из двух режимов: принудительное исполнение и жалоба.   

с помощью вики-страницы команды Ubuntu

Таким образом, принудительное исполнение принудительно применяло любые правила (более подробно об этом, посмотрите здесь ) определены и жалуются просто регистрирует попытки нарушить политику в syslog (большую часть времени).

Некоторые поддерживаемые профили:

  • Кубки (cupsd)
  • MySQL (mysqld)
  • Evince (средство просмотра PDF на Ubuntu - включено по умолчанию).
  • Firefox (будет отключен по умолчанию и будет доступен для продвинутых пользователей)
  • Apache (веб-сервер, то же самое)
  • , и список продолжается, но не достаточно длинный. Полный список здесь.

Известные исключения:

  • Chrom (НМ) е. Хотя они имеют профиль AppArmor в своей вики-странице , похоже, что никто не использует его.
  • Я не видел эмпатии, пиджина или передачи в этом списке или что-то похожее на них.

Наконец, кто-то задал аналогичный вопрос о резервном профиле для всего, что не определено.

Но ответ по умолчанию, если приложение не имеет профиля в AppArmor, оно будет иметь доступ ко всему - оно не будет изолировано.

Тем не менее, в 12.10 Chrome запустится в изолированной программной среде seccomp-bpf, в которой его модули были перенесены с версии 3.5 ядра Linux в ряд 3.2, который использует 12.10 Canonical.

    
ответ дан jrg 19.12.2012 в 15:00