O apparmor pode restringir as linguagens interpretadas?

Question

O apparmor pode restringir as linguagens interpretadas?

#1 resposta do labsin (2 votos)
#2 resposta do Yurii Oleynikov (1 votos)

7

Para linguagens interpretadas / vm (por exemplo, scripts python, java, shell) pode aparacer ser definido para confinar apenas um script ou programa específico? Se sim, como?

python security apparmor

por Ian N 19.10.2013 / 04:32

2 respostas

Tags python security apparmor

ZFS no Linux: Configurando o NFS no Ubuntu 14.04 com o OS X Mavericks Client Como executar um aplicativo usando o sudo sem uma senha?

score 2 · Answer 1

Sim, é possível. Ele também está em uso no Ubuntu, especialmente no telefone.

Para obter um script básico do apparmor, você pode usar aa-autodep do pacote apparmor-utils.

Exemplo rápido para python:

cat >> ~/myapp << EOF
#! /usr/bin/python
EOF

sudo aa-autodep ~/myapp

cat /etc/apparmor.d/home.<user-name>.myapp

Isso lhe dará algo como:

# Last Modified: Mon Feb 24 18:31:50 2014
#include <tunables/global>

/home/sam/myapp flags=(complain) {
  #include <abstractions/base>
  #include <abstractions/python>

  /home/sam/myapp r,
  /usr/bin/python2.7 ix,

}

Então você pode expandir isso.

score 1 · Answer 2

Bem, realmente usar '/usr/bin/python2.7 ix' não é uma boa ideia. Como o código explorado pode executar o python a partir do shell, por exemplo: python-c 'algum código maligno'. Definitivamente não é o que você quer e quebra totalmente o conceito sandbox (o que é o apparmor)

#include <tunables/global>

/home/sam/myapp flags=(complain) {
  #include <abstractions/base>


  /home/sam/myapp r,
  /usr/bin/python2.7 Cx -> trusted_domain,

  profile trusted_domain {

   #include <abstractions/....>

   #include <abstraction/python>
   ... your policy for data, logs, connections, python files...
  }

}