Início / unix / Perguntas / 482712
Accepted
dippynark
Asked: 2018-11-20 02:03:18 +0800 CST

Como o AppArmor combina perfis com processos?

  • 772

Quais são todas as maneiras pelas quais os perfis do AppArmor podem ser combinados com os processos? Um parece ser baseado em caminho (por exemplo, o /sbin/dhclientperfil é aplicado quando /sbin/dhclienté executado), mas isso é devido a /sbin/dhclientaparecer no sbin.dhclientperfil ou por causa da maneira como sbin.dhclienté nomeado?

Além disso, para correspondência de perfil não baseada em caminho (por exemplo, para o docker-defaultperfil), como o AppArmor é informado a quais processos aplicar o perfil?

apparmor

1 respostas

  1. Best Answer

    Perfis do AppArmor usando um caminho desconfigurado do comando para o nome do arquivo é apenas uma convenção. De man 7 apparmor:

    Os perfis são tradicionalmente armazenados em arquivos /etc/apparmor.d/sob nomes de arquivos com a convenção de substituir os /nomes de caminho in por . (exceto para o root /) para que os perfis sejam mais fáceis de gerenciar (por exemplo, o /usr/sbin/nscdperfil seria nomeado usr.sbin.nscd).

    O nome do perfil, se contiver um glob de arquivo, se aplica aos arquivos correspondentes a esse glob. Da referência de política do AppArmor Core :

    A especificação de anexo é usada pelo AppArmor para determinar a quais executáveis ​​um perfil será anexado. Se um nome de perfil alternativo não for fornecido, a especificação de anexo também será usada como o nome de perfis e, se uma especificação de anexo não for especificada, um nome de perfil deverá ser fornecido.

    O nome de um perfil é muito importante no AppArmor. Ele fornece não apenas um(s) nome(s) que os usuários podem associar ao conjunto de regras de perfil, mas também é usado para rotulagem, ipc e, no caso de o nome ser uma especificação de anexo, determina a quais executáveis ​​o perfil se anexa.

    • 2

relate perguntas