คำถามติดแท็ก apparmor

ฉันกำลังทำงานในโครงการที่ใช้การจำลองแบบกระจาย: โค้ดโดยพลการถูกดำเนินการบนหลายโหนดและผลลัพธ์จะถูกรวบรวมและรวมในภายหลัง แต่ละโหนดเป็นอินสแตนซ์ของเครื่องเสมือน Ubuntu Linux และเรียกใช้กระบวนการหลักซึ่งดูแลการส่งต่อรหัสที่จะถูกดำเนินการไปยังกระบวนการของผู้ปฏิบัติงานจำนวนมาก (1 สำหรับแต่ละคอร์) คำถามนี้เกี่ยวกับวิธีการตรวจสอบให้แน่ใจว่าผู้ปฏิบัติงานแต่ละคนทำงานในสภาพแวดล้อมแบบ sandbox โดยไม่ต้องหันไปใช้อินสแตนซ์ของเครื่องเสมือนสำหรับแต่ละคน ข้อกำหนดที่แน่นอนสำหรับคนงานคือ: fs : ไม่มีสิทธิ์ในการเขียนสิทธิ์แบบอ่านอย่างเดียวถูก จำกัด ไว้ที่ไดเรกทอรีเดียว (และโฟลเดอร์ย่อย) สุทธิ : อนุญาตการสื่อสารในท้องถิ่นเท่านั้น (IPC, TCP, อะไรก็ตาม ... ) mem : ขีดสูงสุดในการใช้งานหน่วยความจำ (ไม่มีหน่วยความจำ swap) ฆ่าถ้าเกินขีด จำกัด mem cpu : อนุญาตให้ 1 คอร์เท่านั้น, ฆ่าถ้าเกินเวลาที่กำหนด ไม่ควรมีข้อ จำกัด อื่น ๆ : ผู้ปฏิบัติงานควรสามารถโหลดไลบรารีไดนามิก (จากโฟลเดอร์แบบอ่านอย่างเดียว), วางไข่เธรดหรือกระบวนการใหม่, เรียกฟังก์ชันระบบ, ecc …

15 cgroups  sandbox  apparmor 

ฉันต้องการเรียกใช้คำสั่งบน Linux ด้วยวิธีที่ไม่สามารถสร้างหรือเปิดไฟล์ใด ๆ เพื่อเขียน มันควรจะสามารถอ่านไฟล์ได้ตามปกติ (ดังนั้น chroot ที่ว่างเปล่าไม่ใช่ตัวเลือก) และยังสามารถเขียนไปยังไฟล์ที่เปิดอยู่แล้ว (โดยเฉพาะ stdout) คะแนนโบนัสหากการเขียนไฟล์ไปยังไดเรกทอรีที่แน่นอน (เช่นไดเรกทอรีปัจจุบัน) ยังคงเป็นไปได้ ฉันกำลังมองหาวิธีแก้ปัญหาที่เป็นกระบวนการในท้องถิ่นนั่นคือไม่เกี่ยวข้องกับการกำหนดค่าสิ่งต่าง ๆ เช่น AppArmor หรือ SELinux สำหรับทั้งระบบหรือสิทธิพิเศษระดับราก มันอาจเกี่ยวข้องกับการติดตั้งโมดูลเคอร์เนลของพวกเขาแม้ว่า ฉันกำลังดูความสามารถและสิ่งเหล่านี้จะดีและง่ายถ้ามีความสามารถในการสร้างไฟล์ ulimit เป็นอีกวิธีหนึ่งที่สะดวกถ้าครอบคลุมกรณีการใช้งานนี้

13 linux  security  selinux  apparmor  capabilities 

บนเครื่อง Ubuntu 12.04 ที่เพิ่งติดตั้งใหม่ของฉันพร้อมntpและslapdติดตั้งข้อความต่อไปนี้จะปรากฏขึ้น/var/log/syslogตามช่วงเวลาปกติ: Feb 23 18:54:07 my-host kernel: [ 24.610703] type=1400 audit(1393181647.872:15): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/ntpd" name="/etc/ldap/ldap.conf" pid=1526 comm="ntpd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0 ฉันค้นหาแล้ว แต่ไม่พบข้อมูลใด ๆ เกี่ยวกับสิ่งที่อาจเป็นสาเหตุของข้อความเหล่านี้และวิธีแก้ไขปัญหา ใครสามารถทำให้กระจ่างเกี่ยวกับสิ่งที่ทำให้เกิดสิ่งนี้และจะทำอย่างไรกับมัน?

12 ubuntu  ldap  ntp  apparmor 

เป็นไปได้ไหมที่จะสร้างโมดูลความปลอดภัยของ Linux (เช่น AppArmor, SELinux เป็นต้น) แจ้งให้ผู้ใช้เมื่อแอปพลิเคชันต้องการเข้าถึงไฟล์หรือโฟลเดอร์ที่จัดประเภท (ลายเซ็นดิจิทัล, คีย์ SSH, ข้อมูลบัตรเครดิตและสิ่งอื่น ๆ ที่มีความละเอียดอ่อน) แทน ปฏิเสธการทำงานของแอปพลิเคชันซึ่งอาจเป็นที่ต้องการ (เช่นไคลเอนต์อีเมลที่ต้องการลงชื่ออีเมลตามคำขอของผู้ใช้) มันจะเป็นประโยชน์ในการตั้งค่านโยบายความปลอดภัยเริ่มต้นที่เข้มงวดสำหรับแอปพลิเคชันที่มีช่องโหว่ (โดยเฉพาะเว็บเบราว์เซอร์และไคลเอนต์อีเมล) และให้ผู้ใช้ตัดสินใจว่าจะดำเนินการตามที่ต้องการหรือไม่ดังนั้นช่องโหว่ของระบบ เป็นมิตร

12 linux  security  gui  selinux  apparmor 

ฉันมี Docker container (LXC) ที่รัน MySQL เนื่องจากความคิดที่อยู่เบื้องหลัง Docker โดยทั่วไปคือ "หนึ่งกระบวนการทำงานต่อคอนเทนเนอร์" ถ้าฉันกำหนดโปรไฟล์ AppArmor ที่กำหนดเป้าหมายไปที่ไบนารี MySQL พวกเขาจะถูกบังคับใช้หรือไม่ มีวิธีที่ฉันจะทดสอบสิ่งนี้หรือไม่?

11 lxc  apparmor  docker 

ฉันลงชื่อเข้าใช้ SSH จากระยะไกลด้วยการส่งต่อ X ไปยังเครื่องที่ใช้ Ubuntu 10.04 (ชัดเจน) แอปพลิเคชั่น X11 ส่วนใหญ่ (เช่น xterm, gnome-terminal) ทำงานได้ดี แต่ Evince ไม่เริ่ม ดูเหมือนว่าจะไม่สามารถอ่าน~/.Xauthorityได้แม้ว่าไฟล์จะมีอยู่และอ่านได้ชัด (มีสิทธิ์ที่เหมาะสมและแอปพลิเคชันอื่นอ่านได้อย่างดี) $ evince X11 connection rejected because of wrong authentication. Cannot parse arguments: Cannot open display: $ echo DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY DISPLAY=localhost:10.0 XAUTHORITY= $ strace evince … access("/home/gilles/.Xauthority", R_OK) = 0 open("/home/gilles/.Xauthority", …

10 ubuntu  permissions  evince  apparmor  xauth