The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Пример защиты приложения при помощи AppArmor

24.08.2006 09:54

В статье "Protect your applications with AppArmor" демонстрируется процесс создания политики безопасности через систему AppArmor, для контроля за выполнением программы в SUSE Linux.

  1. Главная ссылка к новости (http://www.linux.com/article.p...)
  2. OpenNews: У SELinux появился более удобный аналог
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/8193-apparmor
Ключевые слова: apparmor, limit, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (3) RSS
  • 1, pavlinux (??), 18:08, 24/08/2006 [ответить]  
  • +/
    Чёта я не вкуриваю...

    > /etc/ld.so.cache r,  The file can be read.

    chmod 400 /etc/ld.so.cache

    > /var/run/myprog.pid rw, The file can be read and written.
    chown vasya:root myprob.bin  && chmod 600 /var/run/myprog.pid

    > /etc/apache2/* r, All files in /etc/apache2 can be read.

    chmod 400 /etc/apache2/*

    > /srv/www/htdocs/** r, All files in (and below) htdocs can be read.

    find /srv/www/htdocs -type f -exec chmod 444 '{}' \;

    > /tmp/myprog.* l, The program can create and remove links with this name.

    Ссылку куда? на /etc/shadow?, да и хрен с ними, о все равно chmod 400

    > /bin/mount ux The program can execute /bin/mount which will run unconstrained;
    that is, without an AppArmor profile.

    Ну и хрен с ней пускай делает /bin/mount, выполнять можно, только монтировать нельзя - да вообще, кто разрешает делать юзерам mount?

    > /usr/bin/procmail px The program can execute procmail, which will run under constraint of its own profile.

    Силу воли вырабатывать что ли?

    > /usr/bin/sendmail ix  The program can execute sendmail, which will inherit the profile of the current program.

    chmod u+s

    P.S.
    Bсех в chroot и пускай сам себя хакают/троянят/руткитят.

     
     
  • 4, Анонимоус (?), 19:25, 25/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    > P.S.
    > Bсех в chroot и пускай сам себя хакают/троянят/руткитят.
    Типа, если туда повесят проксю и через нее хакнут кого-то, отвечать будешь за это не ты?
     

  • 2, pavlinux (??), 18:12, 24/08/2006 [ответить]  
  • +/
    Люди кто работал с VAX/VMS, помните сколько там прав доступа? Во, нас опять хотят вернуть в прошлое.(хотя хорошо было, спокойно, суперхацкеров Вась Пукиных небыло).

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру