8
ответов

Как препятствовать тому, чтобы процесс писал файлы

Я хочу выполнить команду на Linux способом, что он не может создать или открыть любые файлы для записи. Это должно все еще смочь считать файлы как нормальные (таким образом, пустой chroot не является опцией), и все еще смочь к...
13.02.2013
4
ответа

Самая простая безопасная игра в песочнице (необходимые ограниченные ресурсы)

Я работаю над проектом, который реализует распределенные моделирования: произвольный код выполнен на нескольких узлах, и результаты позже собраны и агрегированы. Каждый узел является экземпляром...
21.12.2014
3
ответа

Как установить Apparmor на Alpine

У меня есть контейнер с альпийским изображением (Docker: Dind), и я хочу установить Apparmor внутри него, чтобы увидеть, как Работает, прежде чем положить его на хост. Я нашел пакет Apparmor в альпийской репостирой, но я не ...
11.01.2019
2
ответа

lxc -start сообщает мне, что синтаксический анализатор apparmor _недоступен, даже если apparmor установлен и работает

Система :Тестирование Debian (Яблочко )Я пытаюсь настроить и запустить контейнер LXC, как здесь, однако, когда я добираюсь до lxc -start -n my -container -d, я получаю следующее :$ lxc -start -n test1 -d lxc -...
07.02.2021
2
ответа

kdenlive не может открыть/сохранить из-за apparmor

Я боролся с этим несколько дней. Убунту 18.04.4 ЛТС appamor 2.12-4ubuntu5.1 https://www.linuxquestions.org/questions/linux-desktop-74/kdenlive-snap-can%27t-save-or-load-because-of-...
10.06.2020
2
ответа

Как загрузить профиль apparmor для службы, которая работает в пользовательском пространстве systemd

Я пытался загрузить профиль apparmor для службы, которая работает в пользовательском экземпляре systemd. У меня есть два служебных файла sample.service для процесса и еще один sample-profile-loader.service, который ...
22.08.2019
2
ответа

Профиль AppArmor: Отклоните доступ в Интернет

Я хочу отклонить интернет-разрешение для некоторых приложений. Поэтому я пытался сначала отклонить интернет-разрешение для ping, но это не работает. Вот профиль/etc/apparmor.d/bin.ping/...
09.06.2014
2
ответа

Почему я получаю apparmor сообщения об ошибках в системном журнале о NTP и LDAP?

На моей недавно установленной машине Ubuntu 12.04, с ntp и установленным slapd, следующие сообщения появляются в/var/log/syslog равномерно: 23 февраля ядро моего-хоста 18:54:07: [24.610703] тип =...
23.02.2014
1
ответ

Сделайте так, чтобы двоичный файл всегда запускался в контрольной группе

Я хочу убедиться, что двоичный файл, расположенный по определенному пути, всегда запускается как часть определенной контрольной группы. Все, что я нашел до сих пор, включает в себя запуск двоичного файла с помощью какой-то специальной команды (, например.
06.03.2021
1
ответ

Как узнать, какие процессы запускаются/используются при подключении USB-накопителя

Я хочу ограничить процессы, связанные с управлением съемными носителями через AppArmor в системе Debian. Какие процессы используются Debian при подключении съемного запоминающего устройства (USB )? Который...
15.01.2021
1
ответ

Блокировать/разрешать определенные подпроцессы, запускаемые процессом

Я блокирую весь интернет-трафик для учетных записей Linux моих детей с помощью iptables. Иногда я хочу разрешить им использовать ту или иную программу. В таких случаях я позволяю им запускать эту программу как другую (...
13.01.2021
1
ответ

Разрешить чтение файла только через приложение

У меня есть файл с секретом и приложение-генератор, которое его считывает и генерирует что-то похожее на лицензию. На этом компьютере с Linux есть пользователи, которым разрешено использовать это приложение. Потому что...
31.12.2020
1
ответ

Проблема с разрешениями при использовании оснастки «mdl» на основе ruby ​​

Поскольку я не понимаю Ruby, но хочу использовать основанную на ruby ​​программу mdl (markdownlint ), я установил ее с помощью оснастки. Хотя я могу запустить программу, если я попытаюсь настроить настройки в ~/....
24.08.2020
1
ответ

Почему `sudo cat /proc/self/attr/current` возвращает «Недопустимый аргумент»?

Я читал, что текущий профиль AppArmor должен быть указан в файле /proc/self/attr/current, и что если он пуст, текущий профиль является «неограниченным». Но почему cat возвращает "Invalid...
01.03.2020
1
ответ

Сбой snapd в openSUSE Leap 15.1

Я установил и включил snappy в своей системе openSUSE Leap 15.1 в соответствии с этой документацией:https://snapcraft.io/docs/installing-snap-on-opensuseПри добавлении репозитория я использовал репозиторий для...
31.12.2019
1
ответ

Почему для LibreOffice разрешено ведение журнала apparmor?

Я использую Devuan Beowulf (~= Debian Buster). Я вижу довольно много сообщений /var/log/messages с участием apparmor, например: 29 октября 12:05:20 my_host_name ядро: [232254.998790] аудит: тип=1400 аудит(...
29.10.2019
1
ответ

Является ли итеративное добавление дополнительных правил AppArmor плохим?

Насколько мне известно, AppArmor не может предоставлять привилегии программе, которая в противном случае не имеет их (т. е. может только дополнительно ограничивать). Учитывая это, можно ли «разрешить все» для всех программ в ...
03.08.2019
1
ответ

Профиль Firefox Apparmor

Я использую Ubuntu Mate 19.04. Я хочу включить apparmor для Firefox. Я нашел существующий профиль в /etc/apparmor.d/usr.bin.firefox, который я включил, удалив /etc/apparmor.d/disable/usr.bin....
16.07.2019
1
ответ

Где apparmor хранит информацию о профилях в режиме принудительного применения / подачи жалоб?

Где AppArmor хранит информацию о том, какие профили следует загружаться при запуске системы в принудительном режиме или в режиме жалобы? Что произойдет, если я сделаю aa-enforce /etc/apparmor.d/usr.bin.firefox? Моя проблема ...
07.02.2019
1
ответ

apparmor: разрешения mysql - без последних изменений

ОБНОВЛЕНИЕ: теперь я знаю, что моя проблема заключалась в повреждении базы данных, но распознать это было несколько сложно - apparmor, казалось, был причиной дольше, чем должен. Я не заметил, когда впервые опубликовал это, даже ...
29.01.2019
1
ответ

Есть ли MAC для Linux, который может остановить процесс при нарушениях политики?

Есть ли MAC, который может SIGSTOP процесса при нарушениях политики, чтобы я мог возобновить его с обновленной политикой, чтобы повторить системный вызов? Это было бы очень удобно в случае запуска интерактивного ненадежного ...
29.09.2017
1
ответ

apparmor отказывается монтировать / запускать для lxc-start

Я пытаюсь настроить привилегированный контейнер в Ubuntu, где apparmor запрещает монтировать / run / run / lock и /sys/fs/cgroup во время работы lxc-start . Нарушения [1621.278919] аудит: тип = 1400 аудит(...
07.08.2017
1
ответ

Ограничьте приложения для доступа к определенным аппаратным средствам (веб-камера, микрофон …)

Если я говорю приложениям как VLC или Смелость записывать от моей веб-камеры или микрофона, они просто будят аппаратные средства при сне и делают их работу без моей интерференции. Хотя это - хорошая вещь, я'...
01.01.2017
1
ответ

AppArmor вызывает сбои Firefox

Я понимаю, что это, вероятно, плохой вопрос но я застрял. После долгих поисков в Google я изо всех сил пытаюсь решить проблему. Я пытался заставить AppArmor работать с Debian. Я слежу за ...
02.08.2016
1
ответ

Может ли AppArmor ограничить доступ к определенному интерфейсу?

Обманчиво простой вопрос; Может ли Apparmor в Ubuntu (любой версии) ограничить сетевой доступ для определенного приложения определенным сетевым интерфейсом? Если может; ссылка на пример / учебник / и т.д. могла бы ...
05.11.2015
1
ответ

Используя apprarmor/grsec для получения возможностей файла

Я знаю, что с помощью apparmor, можно уменьшить возможности процесса (7). Но действительно ли возможно получить их? Например: ping требует CAP_NET_RAW. Это является двоичным, не имеет никакого набора suid и не имеет никакого файла...
08.04.2015
1
ответ

AppArmor и связывают - монтируется

Кто-то может обрисовать в общих чертах семантику AppArmor относительно, связывают - смонтированные папки? Как я понимаю после чтения документации (1, 2, 3, 4) - да, я использую Ubuntu 12.04 с 3,8 ядрами-...
06.01.2015
1
ответ

apparmor и Firefox

Я в настоящее время сбрасываю профиль apparmor для Firefox 19.0.2 на Ubuntu 12.04, и я немного смущен. Я должен, имел Firefox 7.01 в прошлый раз, когда я использовал это и если я делаю apparmor_status затем...
18.03.2013
1
ответ

Исправить это правило apparmor?

Я действительно не знаю, как добавить это правило к профилю, так как имя было "соединено проводом", это не некоторый полный путь в моей системе, ядре: аудит type=1400 (1353749970.556:556): apparmor = "ПОЗВОЛЕННЫЙ"...
24.11.2012
1
ответ

Как я могу выполнить tcpdump из сценария Python без жалобы AppArmor?

По неудобным причинам выход за пределы объема этого вопроса я должен выполнить tcpdump из сценария Python. Я в настоящее время просто называю подпроцесс. Popen (['tcpdump'...) и все работает просто...
27.10.2011

Формат пакета APK и apk инструменты используются альпийским Linux. Не быть перепутанным с Android apk пакеты.

APK является форматом пакета, используемым Альпийский Linux . Основной инструмент для управления пакетами APK apk, распределенный как часть apk-tools.

Не быть перепутанным с Android apk пакеты.

Внешние ссылки

---------121--------101----AppArmor является механизмом Мандатного управления доступом (MAC), который может использоваться для ограничения процессов в системах Linux. Используйте тег AppArmor в вопросах о AppArmor в целом, профилях AppArmor или связанных с AppArmor проблемах.

AppArmor является механизмом Мандатного управления доступом (MAC), который может использоваться для ограничения процессов в системах Linux. Используйте тег AppArmor в вопросах о AppArmor в целом, профилях AppArmor или связанных с AppArmor проблемах.

AppArmor является механизмом Мандатного управления доступом (MAC), который может использоваться для ограничения процессов в системах .

Профиль является рядом правил AppArmor для процесса, обычно набор, когда исполняемый файл в определенном тракте профиля выполняется. Эти профили хранятся в /etc/apparmor.d и им можно включить или отключить отдельно. Для ограниченных процессов дополнительные правила доступа оценены после регулярных проверок разрешения DAC.

Самое большое включение дистрибутивов AppArmor как значение по умолчанию является (начиная с 8.04) и дистрибутивы. Другие дистрибутивы могут также предоставить AppArmor различную степень поддержки.

Другие проекты с подобной целью включают: