web-dev-qa-db-fra.com

Comment AppArmor traite-t-il les programmes non profilés?

J'ai installé et configuré AppArmor dans Ubuntu et j'aimerais savoir comment AppArmor traite les packages et applications qui n'ont pas de profil AppArmor?

Après l'installation du package avec Sudo apt-get install apparmor-profiles, j'ai 175 profils signalés comme chargés à partir de aa-status.

Je ne peux pas imaginer que seuls 175 programmes sont installés sur mon ordinateur. J'aimerais savoir ce que fait AppArmor pour empêcher les violations de la sécurité dans les programmes sans profil.

securityapparmor
7
humanityANDpeace

Selon le http://wiki.apparmor.net FAQ tout programme qui n'a pas de profil est fondamentalement non protégé/non contraint et peut faire n'importe quel mal sous Ubuntu, presque de la même manière comme il n'y aurait pas eu d'AppArmor en premier lieu

3
humanityANDpeace

Tout d'abord, l'arrière-plan d'AppArmor:

Le modèle de sécurité d'AppArmor consiste à lier les attributs de contrôle d'accès aux programmes plutôt qu'aux utilisateurs.

Les profils AppArmor peuvent être dans l’un des deux modes suivants: application et plainte.

via la page wiki de l'équipe de sécurité Ubunt

Ainsi, l'application applique toutes les règles (pour plus de détails à ce sujet, regardez ici ) sont définies, et plainte se contente d'enregistrer les tentatives de violation de la stratégie dans syslog (la plupart du temps).

Certains profils pris en charge sont:

  • Coupes (cupsd)
  • MySQL (mysqld)
  • Evince (visionneuse PDF sur Ubuntu - activée par défaut).
  • Firefox (sera désactivé par défaut et accepté pour les utilisateurs avancés)
  • Apache (serveur web, idem)
  • et la liste est longue, mais pas assez longue. La liste complète est ici.

Les exceptions notables sont:

  • Chrom (ium) e. Bien qu'ils aient un profil AppArmor sur leur wiki , il semble que personne ne l'utilise.
  • Je n'ai pas vu d'empathie, de Pidgin ou de transmission sur cette liste, ou quoi que ce soit de semblable.

Enfin, quelqu'un d'autre a posé une question similaire à propos d'un profil de repli pour tout ce qui n'est pas défini.

Mais la réponse est, par défaut, si une application ne possède pas de profil dans AppArmor, elle aura accès à tout - elle ne sera pas mise en sandbox.

Toutefois, le 12.10, Chrome sera exécuté dans un sandbox seccomp-bpf, dont les modules ont été reportés de la version 3.5 du noyau Linux à la série 3.2 utilisée par Canonical pour la série 3.2.

2
jrg