perfil curinga do apparmor com globbing

Navegue suas respostas
2

Estou executando o Ubuntu 16.04 com o apparmor 2.10.95-0ubuntu2.7. Muitas vezes preciso comentar sobre software de qualidade duvidosa. Eu quero empregar apparmor para proteger meu sistema de danos.

Eu criei um perfil curinga do tipo apparmor assim: 

/home/username/testing/** {
  somerules
}

Infelizmente, este perfil não tem efeito. Ele funciona como esperado assim que eu colocar o caminho exato sem um caractere curinga: 

/home/username/testing/client42/executable {
  somerules
}

Na página de manual, parece que a globbing é compatível com perfis: 

PROFILE = ( PROFILE HEAD ) [ ATTACHMENT SPECIFICATION ] [ PROFILE FLAG CONDS ] '{' ( RULES )* '}'
PROFILE HEAD = [ 'profile' ] FILEGLOB | 'profile' PROFILE NAME

Este artigo da wiki também diz isso. Existe até um sucesso nos relatórios do usuário.

O que estou perdendo?
Os caracteres curinga nos perfis precisam ser explicitamente habilitados em um arquivo de configuração?
A globbing está desativada no build do Ubuntu?

    
por Hermann 04.01.2018 / 12:50

1 resposta

2

Trabalhando com este problema hoje, achei o perfil curinga funcionando como esperado após a reinicialização. Parece que definir o perfil para aplicar o modo com aa-enforce /etc/apparmor.d/<profile> ou recarregar o perfil com apparmor_parser -r /etc/apparmor.d/<profile> conforme descrito aqui e aqui não é suficiente para perfis de caractere curinga. Não tenho certeza se recarregar o serviço via systemctl reload apparmor é suficiente para ativar o perfil curinga, mas a reinicialização do sistema definitivamente é.

    
por 05.01.2018 / 11:26

Tags

Comando Link para outro comando Existe algum limite para o número de tentativas de login do SSH?