Questions tagged «apparmor»

我正在执行一个实现分布式模拟的项目：在多个节点上执行任意代码，然后收集并汇总结果。 每个节点都是Ubuntu Linux虚拟机的一个实例，并运行一个主进程，该进程负责将要执行的代码转发给多个工作进程（每个内核1个）。 这个问题是关于如何确保每个工作程序在沙盒环境中运行，而又不对每个工作程序使用虚拟机实例。对工人的确切要求是： fs：没有写权限，只读权限仅限于一个目录（和子文件夹） net：仅允许本地通信（IPC，TCP等） mem：限制内存使用量（无交换内存），如果超过mem限制则终止 cpu：仅允许1个内核，如果超过时间限制则终止 不应施加其他限制：工作者应该能够加载动态库（从只读文件夹），生成新线程或进程，调用系统函数，ecc ecc，但限制必须由生成/加载的实体继承，并且应该以总和的方式应用（例如，我们不能让一个工作器产生两个各自使用800MB的线程，则该工作器的内存限制为1GB）。 毋庸置疑，工人没有权利提高自己的权利。 我花了相当多的时间来审查可用的替代方案（SELinux，AppArmor，cgroups，ulimit，Linux名称空间，LXC，Docker等），以找到满足我的要求的最简单的解决方案，但是我在该领域的经验有限。 当前的理解：在我的用例中，LXC和Docker有点沉重，并不完全安全1。由于易于配置，AppArmor优于SELinux，可将其用于fs和网络限制；cgroups比ulimit（在单个进程上运行）更可取，将其用于mem和cpu限制。 这是实现我的目标的最简单方法吗？我可以单独使用AppArmor还是cgroup？我的模型中是否存在明显的安全漏洞？指导方针应该是“允许工人放下自己，但别无其他”。

15 cgroups  sandbox  apparmor 

我想以无法创建或打开任何要写入的文件的方式在Linux上运行命令。它仍然应该能够正常读取文件（因此不能选择空的chroot），并且仍然能够写入已经打开的文件（尤其是stdout）。 如果仍然可以将文件写入某些目录（即当前目录），则可以获得加分。 我正在寻找一种本地解决方案，即不涉及为整个系统配置AppArmor或SELinux之类的东西，也不涉及root特权。不过，这可能涉及安装其内核模块。 我正在研究功能，如果有创建文件的功能，这些功能将很容易实现。如果ulimit涵盖了此用例，则它是另一种方便的方法。

13 linux  security  selinux  apparmor  capabilities 

在安装ntp并slapd安装了新安装的Ubuntu 12.04机器上，以下消息会/var/log/syslog定期出现： Feb 23 18:54:07 my-host kernel: [ 24.610703] type=1400 audit(1393181647.872:15): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/ntpd" name="/etc/ldap/ldap.conf" pid=1526 comm="ntpd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0 我已经搜索过，但找不到任何可能导致这些消息以及如何解决此问题的信息。任何人都可以阐明造成这种情况的原因以及如何采取措施吗？

12 ubuntu  ldap  ntp  apparmor 

当应用程序想要访问分类文件或文件夹（数字签名，SSH密钥，信用卡信息和其他敏感内容）时，是否可以使Linux安全模块（例如AppArmor，SELinux等）提示用户拒绝应用程序可能需要的操作（例如，电子邮件客户端希望根据用户的请求签名电子邮件）。 为易受攻击的应用程序（尤其是Web浏览器和电子邮件客户端）设置严格的默认安全策略，并让用户决定是否需要执行给定的操作，这样可以避免系统的脆弱性，而又不会使用户的状况恶化，这将是有益的。友善。

12 linux  security  gui  selinux  apparmor 

我有一个运行MySQL的Docker容器（LXC）。由于Docker的思想通常是“每个容器运行一个进程”，因此，如果我定义针对MySQL二进制文件的AppArmor配置文件，是否将其实施？我有办法测试吗？

11 lxc  apparmor  docker 

我通过SSH通过X远程登录到运行Ubuntu 10.04（透明）的计算机。大多数X11应用程序（例如xterm，gnome-terminal）都可以正常工作。但是埃文斯没有开始。~/.Xauthority即使文件存在并且似乎可读，它似乎也无法读取（它具有正确的权限，其他应用程序也可以读取它）。 $ evince X11 connection rejected because of wrong authentication. Cannot parse arguments: Cannot open display: $ echo DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY DISPLAY=localhost:10.0 XAUTHORITY= $ strace evince … access("/home/gilles/.Xauthority", R_OK) = 0 open("/home/gilles/.Xauthority", O_RDONLY) = -1 EACCES (Permission denied) … $ ls -l ~/.Xauthority -rw------- 1 gilles gilles 496 Jul 5 …

10 ubuntu  permissions  evince  apparmor  xauth 

我只是在Vagrant上测试新的Ubuntu（Vivid 15.04）安装，并遇到mysql问题并登录到自定义位置。 在/var/log/syslog我得到 /usr/bin/mysqld_safe: cannot create /var/log/mysqld.log: Permission denied 如果ls -l /var我得到 drwxrwxr-x 10 root syslog 4096 Jun 8 19:52 log 如果我在/ var / log中查找文件不存在 我以为我暂时禁用了apparmor，只是为了确定是那个原因还是其他原因导致了问题，但是不确定它是否仍然造成了问题（编辑：认为它可能仍然处于启用状态，所以不确定这是问题还是简单的原因权限）。 如果我尝试以mysql方式手动创建文件，我也会被拒绝（我暂时允许它bash访问测试，之后将其删除）。 touch /var/log/mysql.log touch: cannot touch ‘/var/log/mysql.log’: Permission denied 如果我查看另一个正在运行的服务器（centos），它具有上述权限（并以mysql用户身份写入），那么我想知道mysql通常如何获得访问/ var / log目录的权限，以及如何将其获取到通过正常运行访问该文件夹？ 这是我的mysql的apparmor配置文件 /usr/sbin/mysqld { #include #include #include #include #include capability dac_override, capability …

8 ubuntu  files  permissions  mysql  apparmor 

AppArmor是否会降低系统性能？我有一个慢速的系统（900 MHz CPU），它带有AppArmor，因为它是默认安装的，所以我想知道如果我删除它会变得更快，那么安全性就不如该系统上的性能重要。

8 linux  apparmor