Wie geht AppArmor mit nicht profilierten Programmen um?

7

Ich habe AppArmor in Ubuntu eingerichtet und konfiguriert und möchte wissen, wie AppArmor mit Paketen und Anwendungen umgeht, die kein AppArmor-Profil haben.

Nach der Installation des Pakets mit habe sudo apt-get install apparmor-profilesich 175 Profile als geladen gemeldetaa-status

Ich kann mir nicht vorstellen, dass nur 175 Programme auf meiner Box installiert sind, und ich möchte wissen, was AppArmor tut, um Sicherheitsverletzungen in Programmen ohne Profil zu verhindern.

Menschlichkeit UND Frieden
quelle
Ein bekanntes Beispiel für eine potenziell anfällige Software ohne aktives Profil ist der Firefox-Browser.
Menschlichkeit und

Antworten:

3

Gemäß den häufig gestellten Fragen zu http://wiki.apparmor.net ist jedes Programm, das kein Profil hat, grundsätzlich ungeschützt / uneingeschränkt und kann in Ubuntu Unheil anrichten, fast so, als hätte es überhaupt keinen AppArmor gegeben

Menschlichkeit UND Frieden
quelle
Recht. Es hat kein Profil, also ist es nicht in einer Sandbox, also hat es freie Hand.
jrg
@jrg: Es gibt keine Art von "Fallback-Profil" / "Standardregel" für das unprofilierte Programm?
Menschlichkeit und
Soweit ich weiß, nein. Zu diesem Zeitpunkt noch nicht. Schließlich wollen sie LXC-Sandboxing (nach dem, was ich gehört habe) für alles machen - also wird alles sandboxed, und dann werden bestimmte Dinge für alles auf die Whitelist gesetzt.
jrg
@jrg: (1) Nizza Liste (paar Pakete abgedeckt obwohl .. :( (2) Die Ironie ist , dass LXC sagt dies :. „leider nicht sicher noch“ Kind dazu , einen „Linux Containers“ in dem ersten die Verwendung von defering Ort, an dem es ziemlich wahrscheinlich nicht sicher ist. Derzeit kann ich Ubunut weder über LXC noch über AppArmor sicher machen.
humanityANDpeace
2

Zunächst der Hintergrund von AppArmor:

Das Sicherheitsmodell von AppArmor besteht darin, Zugriffssteuerungsattribute eher an Programme als an Benutzer zu binden.

AppArmor-Profile können in einem von zwei Modi ausgeführt werden: Durchsetzung und Beschwerde.

über die Wiki-Seite des Ubuntu Security Teams

Die Durchsetzung erzwingt also alle definierten Regeln (weitere Informationen hierzu finden Sie hier ). Bei Beschwerden werden nur Versuche protokolliert, die Richtlinien im Syslog zu verletzen (meistens).

Einige unterstützte Profile sind:

  • Tassen (Cupsd)
  • MySQL (mysqld)
  • Evince (PDF-Viewer unter Ubuntu - standardmäßig aktiviert).
  • Firefox (Wird standardmäßig deaktiviert und ist für fortgeschrittene Benutzer aktiviert.)
  • Apache (Webserver, dito)
  • und die Liste geht weiter, aber nicht lang genug. Die vollständige Liste finden Sie hier.

Bemerkenswerte Ausnahmen sind:

  • Chrom (ium) e. Obwohl sie ein AppArmor-Profil in ihrem Wiki haben , scheint es nicht so, als würde es jemand verwenden.
  • Empathie, Pidgin oder Übertragung auf dieser Liste oder ähnliches sahen ich nicht.

Zuletzt hat jemand anderes eine ähnliche Frage zu einem Fallback-Profil für alles gestellt, was nicht definiert ist.

Die Antwort lautet jedoch standardmäßig: Wenn eine Anwendung kein Profil in AppArmor hat, hat sie Zugriff auf alles - sie wird nicht in einer Sandbox gespeichert.

Unter 12.10 wird Chrome jedoch in einer seccomp-bpf-Sandbox ausgeführt, deren Module von Version 3.5 des Linux-Kernels auf die 3.2-Serie zurückportiert wurden, die 12.10 von Canonical verwendet.

jrg
quelle
Ich mag die verknüpfte Frage zum "Fallback-Profil". Scheint, als würdest du auch ein Kopfgeld darauf setzen. Großartig! Ich habe ein sehr schlechtes Repu, daher kann ich nicht beitreten, sonst würde ich es in Betracht ziehen.
Menschlichkeit und