感冒了,感覺一腦子漿糊,真是蛋疼。
先粗略講一些前置知識。
一:MAC和DAC
DAC(Discretionary Access Control),自主訪問控制,是最常用的一類訪問控制機制,意思為主體(文件所有者)可以自主指定系統中其它用戶對其文件的所有權,最典型的就是Linux的"擁有者/同組用戶/其他"。這種方式雖然為用戶提供了很大的靈活性,但是缺乏必要的安全性
MAC(Mandat-ory Access Control),強制訪問控制,在這種機制下,系統中的每一個進程,每一個文件,每一個IPC主體都被管理員按照嚴格的規則設置了相應的安全屬性,不能被用戶和其它直接或間接的修改。
二:Apparmor
由於SELinux使用復雜,適用於對安全要求特別高的企業或者組織,為了簡化操作,就推出了Apparmor,所以可以說Apparmor脫胎於SELinux,但與SELinux基於角色的MAC不同的是,Apparmor是與程序綁定的基於路徑的MAC,也就是說如果路徑發生改變,策略就會失效。一般的Linux的系統,都會內置以上兩種MAC其中的一種,這也意味着,你需要對文件(其它)進行操作,你需要同時通過DAC和 MAC的檢測。
Apparmor有兩種工作模式:enforcement、complain/learning
Enforcement – 在這種模式下,配置文件里列出的限制條件都會得到執行,並且對於違反這些限制條件的程序會進行日志記錄。
Complain – 在這種模式下,配置文件里的限制條件不會得到執行,Apparmor只是對程序的行為進行記錄。例如程序可以寫一個在配置文件里注明只讀的文件,但 Apparmor不會對程序的行為進行限制,只是進行記錄。這種模式也叫學習模式,如果某個程序的行為不符合其配置文件的限制,可以將其行為記錄到系統日志,並且可以根 據程序的行為,將日志轉換成配置文件。
Apparmor可以對程序進行多方面的限制,詳細可以看官方文檔,這里只提供幾個基本的例子:
(1)文件系統的訪問控制 例: /home/Desktop/a.c rw 表示程序可以對/home/Desktop/a.c 進行讀和寫。
(2)資源限制 例: set rlimit as<=1M ,表示該程序可以使用的虛擬內存小於等於1M
(3)訪問網絡 例: network inet tcp ,表示該程序可以在IPV4的情況下使用TCP協議
(4)capability條目 例:capability setgid,表示程序進行setgid操作。
三:基本使用
ubuntu自帶Apparmor,所以以ubuntu14.04為例。
最好先安裝了apparmor的管理工具套裝:apt-get install apparmor-utils
測試程序源碼如下:
#include<stdio.h> #include <string.h> int main(int argc, char *argv[]) { FILE *f; int nn, i; char ch; if(3 == argc){ f = fopen(argv[1], "w"); if(f == NULL){ printf("Open file %s with write ERROR\n", argv[1]); return 2; } nn = strlen(argv[2]); i = 0; while(i < nn){ fputc(argv[2][i], f); ++i; } fclose(f); }else if(argc == 2){ f = fopen(argv[1], "r"); if(NULL == f){ printf("Open file %s with read ERROR\n", argv[1]); return 2; } while((ch=fgetc(f)) != EOF){ printf("%c", ch); } printf("\n"); fclose(f); }else{ printf("Usage: test file **\n"); return 3; } return 0; }
基本功能是對,文件進行讀寫,使用如下:
./test a.c "hello,world"進行寫
./test a.c 進行讀
可以根據 aa-genprof 生成配置文件,生成的文件在/etc/apparmor.d下,文件名為home.jdchen.test
生成的文件如下:
# Last Modified: Fri Nov 11 03:54:40 2016 #include <tunables/global> /home/jdchen/test { #include <abstractions/base> }
由於apparmor采取類似於白名單的機制,所以不能進行任何操作。
現在給配置文件添加可寫的權限並重新加載。
# Last Modified: Fri Nov 11 03:54:40 2016 #include <tunables/global> /home/jdchen/test { #include <abstractions/base> /home/jdchen/a.c w, }
然后介紹幾個命令:
Start : sudo /etc/init.d/apparmor start 啟動
Stop : sudo /etc/init.d/apparmor stop 停止
reload: sudo /etc/init.d/apparmor reload 重新加載
在修改配置之后,需要重載:
可以試着查看一下日志,節選:
ov 11 04:23:53 ubuntu kernel: [ 2419.881291] audit_printk_skb: 15 callbacks suppressed Nov 11 04:23:53 ubuntu kernel: [ 2419.881306] audit: type=1400 audit(1478867033.872:204): apparmor="DENIED" operation="open" profile="/home/jdchen/test" name="/home/jdchen/a.c" pid=4108 comm="test" requested_mask="r" denied_mask="r" fsuid=0 ouid=0 Nov 11 04:24:07 ubuntu kernel: [ 2433.212034] audit: type=1400 audit(1478867047.204:205): apparmor="DENIED" operation="open" profile="/home/jdchen/test" name="/home/jdchen/a.c" pid=4111 comm="test" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
如果不需要配置,可以直接將配置文件刪除。
后續會賞析Apparmor的源碼。