In che modo AppArmor gestisce i programmi non profilati?

7

Ho configurato e configurato AppArmor in Ubuntu e mi piacerebbe sapere come AppArmor gestisce pacchetti e applicazioni che non hanno il profilo AppArmor?

Dopo aver installato il pacchetto con sudo apt-get install apparmor-profiles , ho 175 profili segnalati come caricati da aa-status

Non riesco a immaginare di avere solo 175 programmi installati sulla mia scatola e vorrei sapere che cosa fa AppArmor per prevenire violazioni della sicurezza in programmi privi di profilo.

    
posta humanityANDpeace 19.12.2012 - 15:06

2 risposte

3

Per quanto riguarda il link Domande frequenti qualsiasi programma privo di profilo è fondamentalmente non protetto / non vincolato e può fare qualsiasi danno in Ubuntu, quasi nello stesso modo in cui non ci sarebbe stato alcun AppArmor in primo luogo

    
risposta data humanityANDpeace 19.12.2012 - 15:10
2

Per prima cosa, lo sfondo di AppArmor:

  

Il modello di sicurezza di AppArmor consiste nel legare gli attributi del controllo di accesso ai programmi piuttosto che agli utenti.

     
    

I profili AppArmor possono essere in una di queste due modalità: applicazione e protesta.

  

tramite la pagina wiki del team di sicurezza di Ubuntu

Quindi, l'applicazione ha imposto tutte le regole (per ulteriori dettagli in merito, dare un'occhiata qui ) sono definite e si lamentano registra solo i tentativi di violare i criteri sul syslog (il più delle volte).

Alcuni profili supportati sono:

  • tazze (cupsd)
  • MySQL (mysqld)
  • Evince (PDF viewer su Ubuntu - abilitato di default).
  • Firefox (sarà disabilitato per impostazione predefinita e sarà attivo per utenti esperti)
  • Apache (server web, idem)
  • e la lista continua, ma non abbastanza a lungo. L'elenco completo è qui.

Notevoli eccezioni sono:

  • Chrom (IUM) e. Anche se hanno un profilo AppArmor sulla loro wiki , non sembra che nessuno lo usi.
  • Non ho visto empatia, pidgin o trasmissione in questa lista o qualcosa di simile a loro.

Infine, qualcun altro ha posto una domanda simile su un profilo di fallback per tutto ciò che non è definito.

Ma la risposta è, per impostazione predefinita, se un'applicazione non ha un profilo in AppArmor, avrà accesso a tutto - non sarà in modalità sandbox.

Tuttavia, in 12.10 Chrome verrà eseguito all'interno di una sandbox seccomp-bpf, con i suoi moduli backport dalla versione 3.5 del kernel Linux alla serie 3.2 che 12.10 utilizza da Canonical.

    
risposta data jrg 19.12.2012 - 16:00

Leggi altre domande sui tag