感冒了,感觉一脑子浆糊,真是蛋疼。

  先粗略讲一些前置知识。

  一:MAC和DAC

    DAC(Discretionary Access Control),自主访问控制,是最常用的一类访问控制机制,意思为主体(文件所有者)可以自主指定系统中其它用户对其文件的所有权,最典型的就是Linux的"拥有者/同组用户/其他"。这种方式虽然为用户提供了很大的灵活性,但是缺乏必要的安全性

    MAC(Mandat-ory Access Control),强制访问控制,在这种机制下,系统中的每一个进程,每一个文件,每一个IPC主体都被管理员按照严格的规则设置了相应的安全属性,不能被用户和其它直接或间接的修改。

  二:Apparmor

    由于SELinux使用复杂,适用于对安全要求特别高的企业或者组织,为了简化操作,就推出了Apparmor,所以可以说Apparmor脱胎于SELinux,但与SELinux基于角色的MAC不同的是,Apparmor是与程序绑定的基于路径的MAC,也就是说如果路径发生改变,策略就会失效。一般的Linux的系统,都会内置以上两种MAC其中的一种,这也意味着,你需要对文件(其它)进行操作,你需要同时通过DAC和 MAC的检测。

      Apparmor有两种工作模式:enforcement、complain/learning

      Enforcement – 在这种模式下,配置文件里列出的限制条件都会得到执行,并且对于违反这些限制条件的程序会进行日志记录。

      Complain – 在这种模式下,配置文件里的限制条件不会得到执行,Apparmor只是对程序的行为进行记录。例如程序可以写一个在配置文件里注明只读的文件,但           Apparmor不会对程序的行为进行限制,只是进行记录。这种模式也叫学习模式,如果某个程序的行为不符合其配置文件的限制,可以将其行为记录到系统日志,并且可以根         据程序的行为,将日志转换成配置文件。

    Apparmor可以对程序进行多方面的限制,详细可以看官方文档,这里只提供几个基本的例子:

      (1)文件系统的访问控制   例:  /home/Desktop/a.c rw 表示程序可以对/home/Desktop/a.c 进行读和写。

      (2)资源限制   例: set rlimit as<=1M ,表示该程序可以使用的虚拟内存小于等于1M

      (3)访问网络   例: network inet tcp ,表示该程序可以在IPV4的情况下使用TCP协议  

      (4)capability条目 例:capability setgid,表示程序进行setgid操作。

  三:基本使用

    ubuntu自带Apparmor,所以以ubuntu14.04为例。

    最好先安装了apparmor的管理工具套装:apt-get install apparmor-utils

    测试程序源码如下:

#include<stdio.h>

#include <string.h>

int main(int argc, char *argv[])

{

   FILE *f;

   int nn, i;   char ch;

   if( == argc){

      f = fopen(argv[], "w");

    if(f == NULL){                          printf("Open file %s with write ERROR\n", argv[]);

     return ;

   }

   nn = strlen(argv[]);

   i = ;

   while(i < nn){

     fputc(argv[][i], f);

     ++i;

   }

  fclose(f);

  }else if(argc == ){

    f = fopen(argv[], "r");

    if(NULL == f){

       printf("Open file %s with read ERROR\n", argv[]);

       return ;

    }

    while((ch=fgetc(f)) != EOF){

       printf("%c", ch);

    }

    printf("\n");

    fclose(f);

 }else{

    printf("Usage: test file **\n");

    return ;

 } 

   return ;

}

  基本功能是对,文件进行读写,使用如下:

  ./test a.c "hello,world"进行写

  ./test a.c 进行读

  可以根据 aa-genprof 生成配置文件,生成的文件在/etc/apparmor.d下,文件名为home.jdchen.test

   

  生成的文件如下:

# Last Modified: Fri Nov  ::

#include <tunables/global>

/home/jdchen/test {

  #include <abstractions/base>

}

  由于apparmor采取类似于白名单的机制,所以不能进行任何操作。

  

  现在给配置文件添加可写的权限并重新加载。

# Last Modified: Fri Nov  ::

#include <tunables/global>

/home/jdchen/test {

  #include <abstractions/base>

    /home/jdchen/a.c w,

}

  然后介绍几个命令:

    Start : sudo /etc/init.d/apparmor start 启动

    Stop : sudo /etc/init.d/apparmor stop 停止

    reload: sudo /etc/init.d/apparmor reload 重新加载

  在修改配置之后,需要重载:

   

  可以试着查看一下日志,节选:

ov  :: ubuntu kernel: [ 2419.881291] audit_printk_skb:  callbacks suppressed

Nov  :: ubuntu kernel: [ 2419.881306] audit: type= audit(1478867033.872:): apparmor="DENIED" operation="open" profile="/home/jdchen/test" name="/home/jdchen/a.c" pid= comm="test" requested_mask="r" denied_mask="r" fsuid= ouid=

Nov  :: ubuntu kernel: [ 2433.212034] audit: type= audit(1478867047.204:): apparmor="DENIED" operation="open" profile="/home/jdchen/test" name="/home/jdchen/a.c" pid= comm="test" requested_mask="r" denied_mask="r" fsuid= ouid=

  如果不需要配置,可以直接将配置文件删除。

  后续会赏析Apparmor的源码。

    

学习LSM(Linux security module)之三:Apparmor的前世今生和基本使用的更多相关文章

  1. 学习LSM(Linux security module)之二:编写并运行一个简单的demo

    各种折腾,经过了一个蛋疼的周末,终于在Ubuntu14.04上运行了一个基于LSM的简单demo程序. 一:程序编写 先简单的看一下这个demo: //demo_lsm.c#include <l ...

  2. 学习LSM(Linux security module)之四:一个基于LSM的简单沙箱的设计与实现

    嗯!如题,一个简单的基于LSM的沙箱设计.环境是Linux v4.4.28.一个比较新的版本,所以在实现过程中很难找到资料,而且还有各种坑逼,所以大部分的时间都是在看源码,虽然写的很烂,但是感觉收获还 ...

  3. 学习LSM(Linux security module)之一:解读yama

    最近打算写一个基于LSM的安全模块,发现国内现有的资料极少.因此打算自己琢磨一下.大致的学习路线如下: 由易至难使用并阅读两到三个安全模块->参照阅读模块自己实现一个安全模块->在自己实现 ...

  4. Linux LSM(Linux Security Modules) Hook Technology

    目录 . 引言 . Linux Security Module Framework Introduction . LSM Sourcecode Analysis . LSMs Hook Engine: ...

  5. linux security module机制

    linux security module机制 概要 Hook机制,linux MAC的通用框架,可以使用SElinux, AppArmor,等作为不同安全框架的实现

  6. Linux Security模块

    一.Linux Security Modules Linux Security Modules (LSM) 是一种 Linux 内核子系统,旨在将内核以模块形式集成到各种安全模块中.在 2001 年的 ...

  7. [转帖]22个必须学习的Linux安全命令

    22个必须学习的Linux安全命令 http://os.51cto.com/art/201808/581401.htm Linux系统的安全性涉及很多方面,从设置帐户到确保用户合法,限制比完成工作所需 ...

  8. Automotive Security的一些资料和心得(8):Hardware Security Module (HSM)

    1. Introduction - 保护软件的安全性措施,作为值得信赖的安全锚,- 安全地生成,存储和处理安全性关键材料屏蔽任何潜在的恶意软件,?- 通过运用有效的限制硬件篡改攻击的可能性篡改保护措施 ...

  9. 学习嵌入式Linux有没有一个最佳的顺序(持续更新)

    作为一个嵌入式Linux的初学者,我知道我可能将长期处于初学者阶段,因为我至今仍然没有能够摸索出一条很好的道路让我由初学者进入到更高级阶段.但是我始终没有放弃,本篇文章就是用来记录我学习嵌入式Linu ...

随机推荐

  1. [洛谷P4208][JSOI2008]最小生成树计数

    题目大意:有$n$个点和$m$条边(最多有$10$条边边权相同),求最小生成树个数 题解:对于所有最小生成树,每种边权的边数是一样的.于是就可以求出每种边权在最小生成树中的个数,枚举这种边的边集,求出 ...

  2. 2014end

    人.事.物. 人一年了,从十六班到十六班,从j101到j101再到A207. 她:结婚,然后走了.就是这样,干脆得我都来不及留恋.是的,再也听不到她那很温柔语气,看不到她偶尔激动时就踮起脚尖.还记得晚 ...

  3. CCmdUI

    原文链接地址:http://blog.csdn.net/luicha/article/details/6771185 CCmdUI是一个只被使用于ON_UPDATECOMMAND_UI消息的响应函数中 ...

  4. 【TMD模拟赛】上低音号 链表

    这道题一看有两个出发现点,一枚举点去找边界,想了一会就Pass了...,二是枚举相框,我们最起码枚举两个边界,然后发现平行边界更好处理,然而仍然只有30分,这个时候就来到了链表的神奇应用,我们枚举上界 ...

  5. 在linux环境下让java代码生效的步骤

    1.kill jboss 2.compile 3.deploy 4.bootstrap jboss.

  6. hive 动态分区(Dynamic Partition)异常处理

    Changing Hive Dynamic Partition Limits Symptoms: Hive enforces limits on the number of dynamic parti ...

  7. php多虚拟主机配置

    一.配置httpd.conf# Virtual hosts#Include conf/extra/httpd-vhosts.conf       //取消这一行的# 二.配置httpd-vhosts. ...

  8. 【洛谷 P3469】[POI2008]BLO-Blockade(割点)

    题目链接 题意:一个无向联通图,求删去每个点及其所有边后有多少有序点对的连通性发生了变化. Tarjan求割点的例题.. 如果当前点不是割点,那么它对整个图的连通性不产生影响,只有自己与其他\(n-1 ...

  9. Python阶段复习 - part 2 - Python序列/持久化

    1. 把一个数字的list从小到大排序,然后写入文件,然后从文件中读取出来文件内容,然后反序,在追加到文件的下一行中 >>> import json >>> imp ...

  10. 【目录】Python学习笔记

    目录:Python学习笔记 目标:坚持每天学习,每周一篇博文 1. Python学习笔记 - day1 - 概述及安装 2.Python学习笔记 - day2 - PyCharm的基本使用 3.Pyt ...