Описание тега usb-creator
В AppArmor-это обязательное управление доступом (Mac) для Linux безопасности модуль (ЛСМ), используемых, среди прочего, Ubuntu и SUSE Линукс. В AppArmor контроля доступа правила определяются профилями AppArmor в файле/etc/в AppArmor.д/
. Профили представляют собой простые текстовые файлы, которые содержат информацию о ресурсах приложения профиль относится разрешен доступ.
Как правило, при проектировании профилей, можно было бы реализовать приложение с AppArmor установлено жалуются на
режим, в котором доступ к контролю за нарушениями, совершенными разрешается, но в журнал. Используя журналы, можно было бы итерационно уточняют профиль. Когда профиль будет сделано, то AppArmor может быть включен, чтобы обеспечить
режим, при котором контроль доступа-правила, определенные в профиле не соблюдается, и любое нарушение попытки войти.
Очертания профиля в AppArmor выглядит так:
#включить <параметры/глобальные>
/путь/к/приложению {
[...]
}
Этот код#include
директивы допускают высказывания, относящиеся к нескольким приложениям быть помещены в общий файл, а затем входит в профиле каждого соответствующего заявления.
В <параметры/глобальные>
файл, соответствующий файл/etc/в AppArmor.д/параметры/глобальные
, в свою очередь, включает определения, которые должны быть доступны для каждого профиля. Один из этих дополнительных услуг в файле/etc/в AppArmor/переменные/дома
, которые вместе с @{домой}/** РВ
(или аналогичные директивы) предоставить приложениям доступ к домашние каталоги пользователей.
В этом случае, для того, чтобы запретить доступ на определенные файлы в домашний каталог пользователя, необходимо будет добавить профиль правило чтобы явно запретить доступ к файлам. Это можно сделать с помощью отрицают
директивы, такие как в следующем примере:
#включить <параметры/глобальные>
/путь/к/приложению {
[...]
# Разрешить каталогах (т. е. " р " на каталогах).
@{Дома}/ р
# Это нужно для сохранения файлов в домашнем каталоге.
@{Дома}/** РВ
# Запретить доступ к конкретному файлу
запретить /главная/пользователя/файл RWA
}
Бы запретить читать (Р
), написать (Вт
) и append (с
) к /главная/пользователя/файл
.
Альтернативой является добавление путей, которые вы хотите защитить файл/etc/в AppArmor.д/абстракции/частная-файлы
или /и т. д./В AppArmor.д/абстракции/частная-файлы-строгий
и убедитесь, что в AppArmor профиль для каждого приложения, чтобы быть затронуты включает в себя <абстракций/частная-файлов>
или <абстракция/частная-файлы-строгий>
. Эти файлы уже должны содержать правила для общих файлов, которые должны быть защищены для конфиденциальности или другими соображениями безопасности.
Для получения полного списка доступа режим дополнительные сведения о безопасности в AppArmor профиль, обратитесь в AppArmor.д
страница руководства и компании Novell в AppArmor руководство по администрированию (PDF-файл).