在 Ubuntu 中应用 AppArmor 应用程序访问控制系统 简单说明

Web、Mail、Ftp、DNS、Proxy、VPN、Samba、LDAP 等基础网络服务
回复
头像
windwiny
帖子: 2254
注册时间: 2007-03-13 17:26
送出感谢: 0
接收感谢: 1 次

在 Ubuntu 中应用 AppArmor 应用程序访问控制系统 简单说明

#1

帖子 windwiny » 2007-10-04 2:54

在 Ubuntu 中应用 AppArmor 应用程序访问控制系统 简单说明
windwiny.ubt#gmail.com 20071003

AppArmor 是一个类似于selinux 的东东,主要的作用是设置某个可执行程序的访问控制权限,可以限制程序 读/写某个目录/文件,打开/读/写网络端口等等。。

1.安装 Ubuntu 7.10里
sudo apt-get install apparmor apparmor-profiles apparmor-docs apparmor-utils

2.启动服务
sudo /etc/init.d/apparmor restart

3.添加访问控制规则
3.1 先试编写一个小程序

代码: 全选

#include <stdio.h>
#include <string.h>

int main(int argc,char *argv[])
{
   FILE * f;
   int nn,i;
   char ch;
   if (argc == 3){
      f = fopen(argv[1],"w");
      if (f ==NULL) {
         printf ("Open file \"%s\" with w ERROR\n",argv[1]);
         return 2;
      }
      nn = strlen(argv[2]);
      i=0;
      while (i<nn)
      {
         fputc(argv[2][i],f);
         ++i;
      }
      fclose(f);
   } else if (argc == 2){
      f = fopen(argv[1],"r");
      if (f == NULL) {
         printf ("Open file \"%s\" with r ERROR\n",argv[1]);
         return 2;
      }
      while ( (ch=fgetc(f)) != EOF )
      {
         printf("%c",ch);
      }
      fclose(f);
   } else {
      printf("Usage: testapp file \"string\"     // write string to file \n"
            "       testapp file              // read file and print it \n");
      return 3;
   }

   return 0;
}

保存为/home/n1/Desktop/testapp.c,
程序很简单,带一个或两个参数,第一个参数是文件名,第二个参数是字符串,读或写文件
执行

代码: 全选

cd /home/n1/Desktop
gcc -Wall -o testapp testapp.c
./testapp abc "1abc"
./testapp abcd "2abcd"
./testapp abcde "3abcde"
ls abc abcd abcde    #/// <- 可看到文件
./testapp abc
./testapp abcd
./testapp abcde      #/// <- 可看到文件内容
rm abc abcd abcde

以上测试在用户家目录里,有完全的读写权限,写入读取文件一切正常。
3.2 创建规则

代码: 全选

cd /home/n1/Desktop
sudo genprof testapp #// 提示[(S)can system log for SubDomain events] / (F)inish 时按F 完成
ls /etc/apparmor.d/home.n1.*   #// 可以看到有一个 /etc/apparmor.d/home.n1.Desktop.testapp 文件,
                               #// 文件名就是文件的绝对路径,由/变为. 了

原始内容为

代码: 全选

# Last Modified: Thu Oct  4 01:35:37 2007
#include <tunables/global>
/home/n1/Desktop/testapp flags=(complain) {
  #include <abstractions/base>

  /home/n1/Desktop/testapp mr,
}

在文件大括号内加入

代码: 全选

/home/n1/Desktop/abcde rwm,
/home/n1/Desktop/abcd w,
/home/n1/Desktop/abc r,

一部分为文件名,第二部分为权限,rwxm 之类与文件系统的权限类似。
4. 测试
执行下列命令

代码: 全选

sudo /etc/init.d/apparmor reload      // 重装读取
./testapp abc "1abc00"
./testapp abcd "2abcd00"
./testapp abcde "3abcde00"
ls abc abcd abcde    #/// <- 可看到文件
./testapp abc
./testapp abcd
./testapp abcde      #/// <- 可看到文件内容

gedit /var/log/syslog  # 可以看到类似内容
kernel: [140321.028000] audit(1191433716.584:1578):  type=1502 operation="inode_create" requested_mask="w" denied_mask="w" name="/home/n1/Desktop/abc" pid=4864 profile="/home/n1/Desktop/testapp"
kernel: [140362.236000] audit(1191433758.086:1579):  type=1502 operation="inode_permission" requested_mask="r" denied_mask="r" name="/home/n1/Desktop/abcd" pid=4877 profile="/home/n1/Desktop/testapp"

#  可以看出 abc 文件在 写入时被“记帐”了,abcd 文件在读取时被“记帐”了。  因为在 /etc/apparmor.d/home.n1.Desktop.testapp 他们没有对应的权限

rm abc abcd abcde

再执行

代码: 全选

sudo enforce /etc/apparmor.d/home.n1.Desktop.testapp    // 启用“强制”
 # 执行这个之后发现 /etc/apparmor.d/home.n1.Desktop.testapp 文件里  flags=(complain) 被去掉了
sudo /etc/init.d/apparmor reload   
./testapp abc "1abc0011"      # 写入出错
./testapp abcd "2abcd0011"
./testapp abcde "3abcde0011"
./testapp otherfile "teststest"  # 其它文件名,也是失败
ls abc abcd abcde       #/// <- 看不到文件abc
echo "i am test" > abc  # 手工创建
./testapp abc
./testapp abcd          #读取出错
./testapp abcde     
cat abcd                # 内容为刚才加入的内容"2abcd0011"
  ## /var/log/syslog 里也有日记
rm abc abcd abcde

查看AppArmor在整个系统的状态

代码: 全选

sudo apparmor_status  # 在启动时应该有
-----
apparmor module is loaded.
17 profiles are loaded.
4 profiles are in enforce mode.
   .....
   /home/n1/Desktop/testapp
13 profiles are in complain mode.
   /usr/sbin/traceroute
   .....
5 processes have profiles defined.
1 processes are in enforce mode :
   /usr/sbin/cupsd (4812)
4 processes are in complain mode.
   .....
   /sbin/syslogd (4574)
0 processes are unconfined but have a profile defined.
------ 之类的,



以上是最简单的应用,通过 genprof 创建规则文件,只添加最少需要的文件读写权限规则,
可实现除了文件系统权限以外对某未知程序的读写文件控制。
在规则文件里的文件名路径可带通配符

其它自动化工具包括 logprof ,autodep,audit,complain,unconfined,查看状态 apparmor_status 等

要取消只要删除apparmor.d 里的文件,重启 apparmor 服务就行

有个问题就是把可执行文件复制到其它目录里就不能限制了

参考资料:
Novell AppArmor《apparmor-admin-guide_zh_CN.pdf》
http://www.gtlib.gatech.edu/pub/opensus ... _zh_CN.pdf
头像
iblicf
帖子: 3766
注册时间: 2007-01-15 17:15
送出感谢: 0
接收感谢: 0

#2

帖子 iblicf » 2007-11-03 19:31

代码: 全选

                    _ 
  __ _  ___   ___   __| |
 / _` |/ _ \ / _ \ / _` |
| (_| | (_) | (_) | (_| |
 \__, |\___/ \___/ \__,_|
 |___/   
头像
zhuqin_83
帖子: 10606
注册时间: 2006-05-13 4:02
送出感谢: 0
接收感谢: 7 次
联系:

#3

帖子 zhuqin_83 » 2007-12-05 2:50

这个gutsy自带了。
HP Pavilion DV6-2064CA: AMD Turion II Ultra Dual-Core Mobile M640, HD4650, 2GBx2 DDR2-800, Seagate 500GB 7200RPM SATA, BD-ROM
DELL UltraSharp 2209WA
Arch64, Testing repo
头像
ptpt52
帖子: 717
注册时间: 2008-07-27 8:51
系统: Ubuntu/Windows
来自: 广西玉林|广东深圳
送出感谢: 1 次
接收感谢: 3 次
联系:

Re: 在 Ubuntu 中应用 AppArmor 应用程序访问控制系统 简单说明

#4

帖子 ptpt52 » 2009-04-08 11:26

mark
radaiming
帖子: 31
注册时间: 2010-01-11 17:11
来自: 柳州
送出感谢: 0
接收感谢: 0

Re: 在 Ubuntu 中应用 AppArmor 应用程序访问控制系统 简单说明

#5

帖子 radaiming » 2010-11-26 11:08

想用快车,又不想让它乱读硬盘,找到此帖,感谢楼主了!
twitter:@radaiming
giveup
帖子: 126
注册时间: 2009-08-31 17:21
送出感谢: 8 次
接收感谢: 2 次

Re: 在 Ubuntu 中应用 AppArmor 应用程序访问控制系统 简单说明

#6

帖子 giveup » 2011-05-11 13:29

解决一个大问题。 :em05
viewtopic.php?f=54&t=330413
回复

回到 “服务器基础应用”