Questions tagged «apparmor»

4
最简单的安全沙箱(需要有限的资源)
我正在执行一个实现分布式模拟的项目:在多个节点上执行任意代码,然后收集并汇总结果。 每个节点都是Ubuntu Linux虚拟机的一个实例,并运行一个主进程,该进程负责将要执行的代码转发给多个工作进程(每个内核1个)。 这个问题是关于如何确保每个工作程序在沙盒环境中运行,而又不对每个工作程序使用虚拟机实例。对工人的确切要求是: fs:没有写权限,只读权限仅限于一个目录(和子文件夹) net:仅允许本地通信(IPC,TCP等) mem:限制内存使用量(无交换内存),如果超过mem限制则终止 cpu:仅允许1个内核,如果超过时间限制则终止 不应施加其他限制:工作者应该能够加载动态库(从只读文件夹),生成新线程或进程,调用系统函数,ecc ecc,但限制必须由生成/加载的实体继承,并且应该以总和的方式应用(例如,我们不能让一个工作器产生两个各自使用800MB的线程,则该工作器的内存限制为1GB)。 毋庸置疑,工人没有权利提高自己的权利。 我花了相当多的时间来审查可用的替代方案(SELinux,AppArmor,cgroups,ulimit,Linux名称空间,LXC,Docker等),以找到满足我的要求的最简单的解决方案,但是我在该领域的经验有限。 当前的理解:在我的用例中,LXC和Docker有点沉重,并不完全安全1。由于易于配置,AppArmor优于SELinux,可将其用于fs和网络限制;cgroups比ulimit(在单个进程上运行)更可取,将其用于mem和cpu限制。 这是实现我的目标的最简单方法吗?我可以单独使用AppArmor还是cgroup?我的模型中是否存在明显的安全漏洞?指导方针应该是“允许工人放下自己,但别无其他”。

8
如何防止进程写入文件
我想以无法创建或打开任何要写入的文件的方式在Linux上运行命令。它仍然应该能够正常读取文件(因此不能选择空的chroot),并且仍然能够写入已经打开的文件(尤其是stdout)。 如果仍然可以将文件写入某些目录(即当前目录),则可以获得加分。 我正在寻找一种本地解决方案,即不涉及为整个系统配置AppArmor或SELinux之类的东西,也不涉及root特权。不过,这可能涉及安装其内核模块。 我正在研究功能,如果有创建文件的功能,这些功能将很容易实现。如果ulimit涵盖了此用例,则它是另一种方便的方法。

2
为什么在系统日志中收到有关NTP和LDAP的apparmor错误消息?
在安装ntp并slapd安装了新安装的Ubuntu 12.04机器上,以下消息会/var/log/syslog定期出现: Feb 23 18:54:07 my-host kernel: [ 24.610703] type=1400 audit(1393181647.872:15): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/ntpd" name="/etc/ldap/ldap.conf" pid=1526 comm="ntpd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0 我已经搜索过,但找不到任何可能导致这些消息以及如何解决此问题的信息。任何人都可以阐明造成这种情况的原因以及如何采取措施吗?
12 ubuntu  ldap  ntp  apparmor 

3
提示用户拒绝Linux安全
当应用程序想要访问分类文件或文件夹(数字签名,SSH密钥,信用卡信息和其他敏感内容)时,是否可以使Linux安全模块(例如AppArmor,SELinux等)提示用户拒绝应用程序可能需要的操作(例如,电子邮件客户端希望根据用户的请求签名电子邮件)。 为易受攻击的应用程序(尤其是Web浏览器和电子邮件客户端)设置严格的默认安全策略,并让用户决定是否需要执行给定的操作,这样可以避免系统的脆弱性,而又不会使用户的状况恶化,这将是有益的。友善。

2
Docker / LXC中的AppArmor配置文件
我有一个运行MySQL的Docker容器(LXC)。由于Docker的思想通常是“每个容器运行一个进程”,因此,如果我定义针对MySQL二进制文件的AppArmor配置文件,是否将其实施?我有办法测试吗?
11 lxc  apparmor  docker 

2
Evince无法启动,因为它无法读取.Xauthority
我通过SSH通过X远程登录到运行Ubuntu 10.04(透明)的计算机。大多数X11应用程序(例如xterm,gnome-terminal)都可以正常工作。但是埃文斯没有开始。~/.Xauthority即使文件存在并且似乎可读,它似乎也无法读取(它具有正确的权限,其他应用程序也可以读取它)。 $ evince X11 connection rejected because of wrong authentication. Cannot parse arguments: Cannot open display: $ echo DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY DISPLAY=localhost:10.0 XAUTHORITY= $ strace evince … access("/home/gilles/.Xauthority", R_OK) = 0 open("/home/gilles/.Xauthority", O_RDONLY) = -1 EACCES (Permission denied) … $ ls -l ~/.Xauthority -rw------- 1 gilles gilles 496 Jul 5 …

1
权限被拒绝写入mysql日志
我只是在Vagrant上测试新的Ubuntu(Vivid 15.04)安装,并遇到mysql问题并登录到自定义位置。 在/var/log/syslog我得到 /usr/bin/mysqld_safe: cannot create /var/log/mysqld.log: Permission denied 如果ls -l /var我得到 drwxrwxr-x 10 root syslog 4096 Jun 8 19:52 log 如果我在/ var / log中查找文件不存在 我以为我暂时禁用了apparmor,只是为了确定是那个原因还是其他原因导致了问题,但是不确定它是否仍然造成了问题(编辑:认为它可能仍然处于启用状态,所以不确定这是问题还是简单的原因权限)。 如果我尝试以mysql方式手动创建文件,我也会被拒绝(我暂时允许它bash访问测试,之后将其删除)。 touch /var/log/mysql.log touch: cannot touch ‘/var/log/mysql.log’: Permission denied 如果我查看另一个正在运行的服务器(centos),它具有上述权限(并以mysql用户身份写入),那么我想知道mysql通常如何获得访问/ var / log目录的权限,以及如何将其获取到通过正常运行访问该文件夹? 这是我的mysql的apparmor配置文件 /usr/sbin/mysqld { #include #include #include #include #include capability dac_override, capability …

3
AppArmor是否会降低系统性能?
AppArmor是否会降低系统性能?我有一个慢速的系统(900 MHz CPU),它带有AppArmor,因为它是默认安装的,所以我想知道如果我删除它会变得更快,那么安全性就不如该系统上的性能重要。
8 linux  apparmor 
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.