Я установил и настроил AppArmor в Ubuntu, и я хотел бы знать, как AppArmor работает с пакетами и приложениями, у которых нет профиля AppArmor?
После установки пакета с sudo apt-get install apparmor-profiles
у меня 175 профилей, о которых сообщается как загруженный из aa-status
Я не могу себе представить, что на моем компьютере установлено только 175 программ, и я хотел бы знать, что AppArmor делает для предотвращения нарушений безопасности в программах, которые не имеют профиля.
Согласно http://wiki.apparmor.net FAQ любая программа, которая не имеет профиля, в основном не защищена / не ограничена и может нанести вред в Ubuntu почти так же, как не был любой AppArmor в первую очередь
Во-первых, фон AppArmor:
Модель безопасности AppArmor заключается в привязке атрибутов контроля доступа к программам, а не к пользователям.
Профили AppArmor могут работать в одном из двух режимов: принудительное исполнение и жалоба.
blockquote> blockquote>через вики-страницу Ubuntu Security Team
Итак, принудительное применение любых правил (для более подробной информации о что, посмотрите здесь ), и жалуйтесь, просто записывает попытки нарушить политику в системный журнал (большую часть времени).
Некоторые поддерживаемые профили:
- Cups (cupsd)
- MySQL (mysqld)
- Evince (программа просмотра PDF в Ubuntu - по умолчанию включена). [ 118]
- Firefox (будет отключен по умолчанию и будет включен для опытных пользователей)
- Apache (веб-сервер, ditto)
- , и этот список можно продолжить, но недостаточно долго. Полный список здесь.
Известные исключения:
- Chrom (ium) e. Хотя у них есть профиль AppArmor в их вики , похоже, никто его не использует.
- Я не видел сочувствия, пиджина или передачи в этом списке, или что-либо подобное им.
Наконец, кто-то еще задал похожий вопрос о резервном профиле для всего, что не определено.
Но ответ по умолчанию таков: если приложение не имеет профиля в AppArmor, оно будет иметь доступ ко всему - оно не будет помещено в «песочницу».
Тем не менее, 12.10 Chrome будет работать в изолированной программной среде seccomp-bpf, в которой модули перенесены из версии 3.5 ядра Linux в серию 3.2, которую 12.10 использует Canonical.
Довольно интересно, что @humanityANDpeace ответил отрицательно на вопрос, предоставив решение в другой ветке.
В любом случае, вот ответ для полноты картины:
profile default /** {
#insert default profile rules here
}