問題タブ [apparmor]

AppArmorのドキュメントには、環境スクラビングの有無にかかわらず、アプリケーションが他のプログラムを実行できるようにすることが記載されています。明らかに、スクラブされた環境の方が安全ですが、ドキュメントでは、環境のスクラブがどのように行われるかを正確に指定していないようです。

環境スクラブとは何ですか？AppArmorは環境をスクラブするために何をしますか？

私は AWS を初めて使用します。AWS Linux でサンドボックスをセットアップしたいと考えています。最も簡単な方法は、AppArmor や SELinux などのビルド済みコンポーネントを使用することでした。

しかし、AWS が AppArmor をサポートしているかどうかに関する記事は見つかりませんでした。

Plsはこれで私を助けますか?

ありがとうジジョイ

MIPS(broadcom) コアを使用した組み込みシステムに取り組んでいます。ここで、ベンダー提供の 2.6.31 カーネルに apparmor パッチを適用したいと考えています。しかし、私はそれらを見つけることができません。http://wiki.apparmor.net/index.php/Main_Pageによると、パッチは git://git.kernel.org/pub/scm/linux/kernel/git/jj/ の Linux git ツリーにあります。 apparmor-dev.git. しかし、そのツリーはもう見つかりません。

このパッチはどこにありますか?

どうも

Apache2mod_proxy_ajpを使用してリクエストをTomcatにプロキシします。ApacheはAppArmorでサンドボックス化されています。ホストが有効なipv4アドレスを持っている場合、すべてが正常に機能します。ただし、LANアドレスのみを使用してパラレル内で使用すると、プロキシは空のページを返します。

/var/log/kern.logを見ると、以下の行が表示されます。aa-logprofはそれをどうするかを知りません。これは、パラレルがipv4ではなくipv6lanアドレスを割り当てていることが原因であると思われます。どうすればこれを修正できますか？

apparmor を使用して Ubuntu 11.10 で R をサンドボックス化しています。私が気づいたことの 1 つは、R が作成するすべての png または pdf プロットに対して、次の警告が表示されることです。

ただし、/etc/passwd への読み取りアクセスが拒否されても、すべてが正常に機能しているようです。私がやりたいことには不要に思えるので、R にこれらのアクセス許可を与える予定はありません。ただし、繰り返される警告はやや面倒です。

R/src で "getpwuid" を簡単に grep すると、それが呼び出されている 3 つの場所が示されます。

しかし、これが何をするのかは私にはよくわかりません。

質問:

• プロットを作成するために R が passwd ファイルにアクセスする必要があるのはなぜですか?
• png または pdf デバイスへの書き込み時に (R を再コンパイルせずに) R が getpwuid_r() を呼び出さないようにする方法はありますか?

I wanted to run libvirt using a customized version of qemu. However, after I installed my version of qemu and rebooted I get the following message in dmesg

type=1400 audit(1338385059.381:51): apparmor="DENIED" operation="exec" parent=1700 profile="/usr/sbin/libvirtd" name="/usr/local/bin/qemu-system-x86_64" pid=1746 comm="libvirtd" requested_mask="x" denied_mask="x" fsuid=0 ouid=0

I tried editing the /etc/apparmor.d/abstractions/libvirt-qemu and added the following line and rebooted

/usr/local/bin/qemu-system-x86_64 rmix,

However the issue is still present. I am really new to apparmor, in fact hadn't read much on it till I found this error. Any help would be greatly appreciated.

Linux で、プロセスがプロセス グループ ID を変更するのを防ぐ方法、つまり を呼び出す方法はありsetpgidますか? サンドボックスを作成しているため、そうする必要があり、n 秒後にプロセスとそのすべての子を強制終了できるようにしたいのです。プロセス グループ ID から子を識別しているため、この値を変更できないようにする必要があります。

と呼ばれるものCAP_SETGIDがありますが、これはプロセスのユーザーグループIDを参照していると思います。setgidsetpgid

http://libvirt.org/drvqemu.html#securitysvirtaaには、Apparmorではゲスト間の保護はないと書かれています。アクティブなapparmorを使用してubuntuでlibvirtを使用すると、ゲストごとにポリシーファイルが自動的に作成されます。それらはプロセス固有の保護を意味しましたか？

シェルが必要なすべての状況で、デフォルトの /bin/sh の代わりにシェルが必要な場合に、PHP が特定のパスで実行可能ファイルを使用するようにしたいと思います (たとえば、UNIX プラットフォームで sendmail を起動するための mail() 関数、system()関数、バッククォート演算子など)。PHP を apache モジュールとして使用しているため、webserver はそのユーザーとして実行されるため、/etc/passwd で www-data ユーザーのシェルを変更しようとしました。それは役に立ちませんでした。また、SetEnvを使用してApache構成でSHELL変数を設定しようとしましたが、どちらも役に立ちませんでした。PHP によって実行されたすべてのシェル呼び出しを監査し、ログに記録したり、拒否/受け入れたりしたいので、これを行いたいと思います。system() のような PHP 関数を無効にするオプションはありません。これは、既存の (変更できない) ソリューションで使用されているためです。私はすでにその「制限付きシェル」を C でコーディングしましたが、

はい、私はすでに mail() 関数に関連してこの質問をしましたが、私はもっと一般的な解決策が必要であり、それは mail() に関連しているだけでなく、問題はシェルの一般的な使用法であることに気付きました。状況。apparmor でパス名をオーバーライドする可能性についても考えましたが、それは不可能だと思います。別のシェルを提供するためだけに apache/PHP 用のカスタム chroot "jail" を提供するソリューションは、私にとって非常にやり過ぎの状況のようです :(

よろしくお願いします！