Дилетантские вопросы по AppArmor

0

1

Задумал я тут осилить мандатные ограничения, так уже вышло, что в моей Suse предустановлен AppArmor, ну значит с ним и ковыряюсь.

Начал с простенького, решил закрыть всем, в том числе и root возможность модифицировать файл /etc/Yubico/config с отпечатками для u2f. Читать, значит, его можно всем, напилил такое правило:

# Запретить всем процессам доступ на запись к файлу /etc/Yubico/config
abi <abi/3.0>,
include <tunables/global>

profile deny-etc-yubico-config flags=(attach_disconnected) {
  include <abstractions/base>

  # Запретить запись в файл
  deny /etc/Yubico/config w,
}

Скомпилировал:

sudo apparmor_parser -r /etc/apparmor.d/deny_etc_yubico_config

Применил:

sudo aa-enforce /etc/apparmor.d/deny_etc_yubico_config

И вот ведь, не работает… И что я сделал не так?

Ну хорошо, а дальше что? как сделать так, чтобы это правило не мог отключить даже root, а я мог?

Как вообще это работает?

PS. Сильно не пинайте, правда хочу разобраться.

Ссылка

←	VPS bridge для TOR на Ubuntu. Как правильно настроить безопасность?

firejail

→

как сделать так, чтобы это правило не мог отключить даже root

Ты знаешь, что root имеет неограниченные права? Или тебе нужно намекнуть?

anonymous
(02.03.25 16:10:23 MSK)

Да ты не спеши, Зюзя на selinux переезжает:

https://news.itsfoss.com/opensuse-ditches-apparmor/

MoldAndLimeHoney ★★
(02.03.25 16:12:38 MSK)

Ссылка

По идее твой интерактивный сеанс (баш или что там) бежит unconfined.

правда хочу разобраться

Доки читай, а не копипасти туториалы.

thesis ★★★★★
(02.03.25 16:15:25 MSK)
Последнее исправление: thesis 02.03.25 16:16:14 MSK (всего исправлений: 1)

Ссылка

В дебиане было что-то вроде

#include <tunables/global>

profile etc.somefile {
  file,
  
  # Allow reading the file for everyone
  /etc/somefile r,
  !/etc/somefile w
}

bdrbt ★
(02.03.25 16:16:50 MSK)

Ответ на: комментарий от anonymous 02.03.25 16:10:23 MSK

В аппармор и селинухе запреты работают на уровне сисколов.

bdrbt ★
(02.03.25 16:18:17 MSK)

Ссылка

AppArmor привязан к конкретным процессам, можно конкретной программе разрешить конкретные файлы. Просто так, неясно какой программе, запретить доступ нельзя, для этого лучше отдельного пользователя заводить и/или шифровать. В конце концов, как ты будешь потом этот файл читать, если даже для рута он запрещён?

neumond ★
(02.03.25 22:22:47 MSK)

Ответ на: комментарий от neumond 02.03.25 22:22:47 MSK

спасибо за совет,

единственное что я про модификацию спрашиваю, но не про чтение

unclestephen ★
(03.03.25 04:27:42 MSK) автор топика

Ответ на: комментарий от bdrbt 02.03.25 16:16:50 MSK

ммм, так оно еще и от дистра к дистру различается?

unclestephen ★
(03.03.25 07:50:07 MSK) автор топика

Ответ на: комментарий от unclestephen 03.03.25 07:50:07 MSK

ммм, так оно еще и от дистра к дистру различается?

Хз, просто в дебиане обычно всё такое «мохнатое», «нафталиновое». Кстати там для полного запрета на модификацию ещё несколько операций надо блочить, навскидку точный синтаксис не вспомню, но что-то связанное с хардлинками и маппингом файла в память, это чтобы так наглухо запретить изменять.

bdrbt ★
(03.03.25 07:56:19 MSK)

Ссылка

Ответ на: комментарий от unclestephen 03.03.25 04:27:42 MSK

Только чтение ставится через chmod, если страшно что какая-то программа под рутом поменяет chmod, вот здесь как раз и нужен apparmor, чтобы явно прописать что она менять может а что нет.

neumond ★
(03.03.25 15:15:29 MSK)

Ссылка

Для того чтобы оставить комментарий войдите или зарегистрируйтесь.

←	VPS bridge для TOR на Ubuntu. Как правильно настроить безопасность?

Security

firejail

→

Похожие темы