@nobodysu

От каких атак защищает AppArmor?

RCE?
Чтение памяти?
Запись в память?
Имеет ли смысл защищать root-процессы профилем безопасности?
  • Вопрос задан
  • 185 просмотров
Решения вопроса 1
ValdikSS
@ValdikSS
AppArmor, SELinux и прочие системы мандатного контроля доступа позволяют вам очень тонко ограничить привилегии программы, отслеживать большинство её действий, а также получать уведомления, если вдруг программа начала делать что-то нестандартное, что никогда ранее не делала.

Скажем, AppArmor позволяет гранулярно ограничить доступ до заданных директорий, capabilities, системных вызовов, сетевых соединений (с точностью до протокола, IP-адреса и порта), общей памяти, разделять поведение процессов родителя и детей.

С помощью профилей AppArmor можно «прикрыть» проблемы безопасности в старом неподдерживаемом ПО, зарезав какие-то типичные действия эксплоита (вызовы system() и execve(), открытие сокетов, например), или банально, если это самостоятельно написанная программа, в безопасности которой вы не уверены, написать профиль с абсолютно всеми используемыми вызовами, файлами и библиотеками, а при совершении программой нестандартных действий записывать лог аудита, по обнаружении записи в котором другая программа будет останавливать демон, снимать дамп и завершать его работу до выяснения обстоятельств взлома.

Более реалистичный и практически полезный сценарий: нужно сделать папку, в которой нельзя удалять файлы. Не sticky bit на папку, а прямо чтобы никто не мог в ней удалять файлы, только создавать. Решение: блокируем вызов unlink() через AppArmor. Задача решена.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
alfss
@alfss
posix 1003.1e
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы