AppArmorはプロファイルされていないプログラムをどのように処理しますか?
UbuntuでAppArmorをセットアップおよび構成しましたが、AppArmorがAppArmorプロファイルを持たないパッケージおよびアプリケーションをどのように処理するかを知りたいですか?
Sudo apt-get install apparmor-profilesでパッケージをインストールした後、aa-statusからロードされたと報告された175個のプロファイルがあります
ボックスに175個のプログラムしかインストールされていないことを想像することはできません。AppArmorがプロファイルを持たないプログラムのセキュリティ侵害を防ぐために何をするのか知りたいです。
http://wiki.apparmor.net FAQに基づいていないプログラムは、基本的に保護されていない/制約がなく、Ubuntuでのいたずらを行うことができます。そもそもAppArmorがなかったのと同じ方法
まず、AppArmorの背景:
AppArmorのセキュリティモデルは、アクセス制御属性をユーザーではなくプログラムにバインドすることです。
AppArmorプロファイルは、強制と苦情の2つのモードのいずれかになります。
そのため、ルールは強制的に適用されます(詳細については、 ここをご覧ください )。時間)。
サポートされているプロファイルは次のとおりです。
- カップ(cupsd)
- MySQL(mysqld)
- Evince(UbuntuのPDFビューアー-デフォルトで有効)。
- Firefox(デフォルトで無効になり、上級ユーザー向けにオプトインされます)
- Apache(ウェブサーバー、同上)
- リストは続きますが、十分な長さではありません。 全リストはこちら
注目すべき例外は次のとおりです。
- クロム(ium)e。彼らのウィキには AppArmorプロファイルがありますが ですが、誰も使用していないようです。
- このリストには共感、ピジン、伝染、またはそれらに類似したものは見られませんでした。
最後に、定義されていないものについて fallbackプロファイルについて他の誰かが同様の質問をしました。
ただし、デフォルトでは、アプリケーションがAppArmorにプロファイルを持たない場合、すべてにアクセスできます-サンドボックス化されません。
ただし、12.10では、Chromeはseccomp-bpfサンドボックス内で実行され、Linuxカーネルのバージョン3.5から、12.10がCanonicalによって使用されている3.2シリーズにバックポートされたモジュールがありました。