AppArmor:如何阻止带有CAP_SYS_ADMIN/CAP_SYS_CHROOT的pid=host容器读取(某些)主机文件?
AppArmor(Application Armor)是一种Linux内核安全模块,它通过定义安全策略来限制进程对系统资源的访问。对于您提出的问题,即如何阻止带有CAP_SYS_ADMIN/CAP_SYS_CHROOT的pid=host容器读取(某些)主机文件,以下是基础概念、相关优势、类型、应用场景以及解决方案:
基础概念
- AppArmor:一种强制访问控制(MAC)安全系统,用于限制进程对文件、网络等资源的访问。
- CAP_SYS_ADMIN:Linux能力之一,允许进程执行一系列系统管理操作。
- CAP_SYS_CHROOT:允许进程使用chroot()系统调用改变其根目录。
相关优势
- 细粒度控制:AppArmor允许针对特定应用程序定义安全策略,提供比传统Unix权限更细粒度的控制。
- 灵活性:可以动态加载和修改安全策略,无需重启系统或应用程序。
类型
- Profile:定义了应用程序如何与系统资源交互的安全策略文件。
- Constraints:用于进一步限制profile中定义的行为。
应用场景
- 容器安全:在容器化环境中,AppArmor可以用来限制容器对主机系统的访问。
- 应用程序隔离:确保应用程序只能访问其所需的最小资源集。
解决方案
要阻止带有特定能力的容器读取某些主机文件,您需要创建或修改AppArmor profile来限制这些访问。以下是一个示例profile片段,用于阻止容器读取/etc/shadow文件:
#include <tunables/global>
profile container-host-access {
#include <abstractions/base>
#include <abstractions/nameservice>
/etc/shadow r,
/etc/shadow w,
/etc/shadow mmap,
/etc/shadow exec,
/etc/shadow bpf,
/etc/shadow cgroup,
/etc/shadow capability,
/etc/shadow netio_intercept,
/etc/shadow perf_event_open,
/etc/shadow ptrace,
/etc/shadow setdomainname,
/etc/shadow sethostname,
/etc/shadow sysctl,
/etc/shadow umount,
/etc/shadow unshare,
/etc/shadow userfaultfd,
/etc/shadow xattr,
deny /etc/shadow { read write mmap exec bpf cgroup capability netio_intercept perf_event_open ptrace setdomainname sethostname sysctl umount unshare userfaultfd xattr },
}在这个示例中,我们明确拒绝了容器对/etc/shadow文件的所有读取和写入操作。您可以根据需要调整这些规则,以阻止对其他主机文件的访问。
如何应用Profile
- 创建Profile文件:将上述示例保存为
container-host-access_aa_profile。 - 加载Profile:使用
aa-genprof工具或手动将profile加载到系统中。 - 关联Profile与容器:确保您的容器运行时(如Docker)配置为使用这个AppArmor profile。
参考链接
- [AppArmor官方文档](https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/tree Documentation/admin-guide/LSM/apparmor.rst)
- Docker与AppArmor集成
请注意,AppArmor的具体实现和配置可能因Linux发行版而异。上述示例和步骤可能需要根据您的具体环境进行调整。
相关·内容
1回答
我有两台电脑,一台是用软呢帽的。当我在fedora上使用这个命令时:我不能从主机上写/读文件。,这就是我想要的行为,。
问题是:当我使用相同的命令时,使用ubuntu。容器可以读取/写入主机上的每个文
浏览 6提问于2017-02-17得票数 0
在研究如何与容器共享PID命名空间时,我注意到了一些我不理解的有趣的东西。当容器与主机共享PID命名空间时,一些进程的环境变量受到保护,而其他进程则没有。我将启动另一个容器,它共享主机PID命名空间并尝试访问environ<em
浏览 0提问于2022-10-06得票数 4
回答已采纳
4回答
虽然我相信答案是否定的,但我觉得我仍应问:是否可以从码头货柜内监察主机系统?为了使部署和升级更容易,我希望能在容器中放置一些监视工具。具体来说,我在考虑一些工具,比如atop、sar等。
浏览 4提问于2015-10-28得票数 6
回答已采纳
我有一个项目,在这个项目中,我从容器内的主机读取系统信息。现在我有CPU,RAM和存储设备,但是网络变得有点困难。我使用的是Node.js库,它从/sys/class/net/读取网络统计数据。我现在找到的唯一解决方案是使用--network host,但这似乎不是最好的方法,因为它打破了许多其他与网络有关的东西,我不能假设使用我的项目的每个人都可以。我也尝试
浏览 8提问于2022-05-25得票数 1
回答已采纳
我正在尝试为Supervisord管理Postgres和Cron服务的Docker容器设置一个Apparmor配置文件。我的Apparmor个人资料如下:# Source: https://gitlab.com/apparmor/apparmor-profiles因此,我的docker-compose
浏览 20提问于2020-03-11得票数 0
1回答
当我通过ssh和curl localhost:8080访问一个码头容器时,我会得到正常的欢迎页面,但是如果我通过ssh从我的主机或使用主机名的其他任何东西执行curl host_machine_hostname没有地址的连接器设置没有帮助,带有allow=".*“的阀门规则没有帮助,主机address=host_machine_hostname没有帮助。对不起。
浏览 2提问于2015-03-23得票数 0
回答已采纳
我正在研究文件描述符,并试图模拟FD 0 (STDIN)的输入。我正在linux环境中进行测试。我的目的是通过终端编写模拟代码的标准输入。下面是我的python代码:from os import getpid
print(f'Echoing: {line}')
当我试图在另一个终端中写入相关<em
浏览 3提问于2022-08-30得票数 0
回答已采纳
2回答
我想公开一个服务器监控应用程序作为一个码头容器。我编写的应用程序依赖于/proc来读取系统信息,如CPU利用率或磁盘统计数据。因此,我必须将主机/proc虚拟文件系统中提供的信息转发到我的docker容器中。/ host /proc读取以获得有关主机系统的信息。但是我得到了容器的主机名,而
浏览 6提问于2017-11-02得票数 4
在中,我在评论中找到了以下引文:
是的-你说得对,我应该指出码头插座的安全问题。这是目前的主要阻断剂,这是实际的生产,我们肯定是寻求帮助,使其更好的工作,正如您注意到的待办事项清单。虽然我确信这对许多人来说是有意义的,但对于我们其他人来说,有人能用明确的术语解释一下这个“安全问题”是什么吗?我想它指的是: - "/var/run/docker.sock:/var/ru
浏览 5提问于2016-11-28得票数 17
回答已采纳
3回答
当我尝试从Marketplace下载模型(即点击“下载”按钮)时,我只得到空文件。如果我尝试使用"Deploy“选项下载,就会得到安装文件(因此该选项似乎有效)。对如何解决“下载”问题有什么建议吗?在尝试“下载”选项时,我在portel-be错误日志中得到以下错误:
org.acumos.portal.be.common.exception.AcumosServiceException:错误传输文件org.acumos.portal.be.service.impl.MarketPlaceCatalogServic
浏览 2提问于2019-03-11得票数 0
回答已采纳
1回答
很抱歉写了这么长的问题帖子,但我认为这对其他人来说是有帮助的。在任何linux 主机(不使用停靠容器)上,我可以查看/proc/net/tcp来提取与tcp套接字相关的信息。权限提示2:容器中使用的假root不能访问/proc/*/fd中的所有文件描述符。您需要为每个用户查询它。在这个容器中,我无法获得侦听端口的服务P
浏览 11提问于2020-05-24得票数 2
回答已采纳
当在docker和docker-compose上运行带有主机安装卷的坞容器时,在容器启动之前,我观察到大量磁盘I/O (使用dstat)。如果我挂载的卷覆盖了文件系统的很大一部分,那么I/O是非常重要的,在我的例子中,大约20 Gb,在容器启动前大约需要3分钟。在某些情况下,这会导致docker-compose up编排简单地超时。/data/
浏览 10提问于2021-05-24得票数 0
我有多个基于烧瓶的webapps运行在坞容器中(它们的进程需要与主机OS隔离)。为了运行这些应用程序,我在容器中使用uWSGI服务器。传入的请求应该访问带有订阅服务器的uWSGI FastRouter (如这里所描述的:)。启动容器时,uWSGI应该根据某些内部配置宣布自己为子域。容器有两个端口从主机映射到容器: 5000 ( webapp)和2
浏览 1提问于2014-02-03得票数 3
我一直在Ubuntu玩Docker,使用DigitalOcean的Dokku图像。一切似乎都很好。在检查如何安装对接器时,我发现lxc-checkconfig报告了User namespace: Disabled。解释说,这是因为内核不是用CONFIG_USER_NS=y编译的,所以可以通过重新编译来实现。
因为一切都很好,所以我想知道这个用户名称空间中是否有我缺少的东西,例如,安全性方面的好处。如果我让它残废,会有什么风险或已知的问题?
浏览 4提问于2014-01-05得票数 1
回答已采纳
Diff: trueCgroup Driver: cgroupfs Volume: localrunc version: 69663f0bd4b60df09991c08812a60108003fa340Security Options:
apparmor
浏览 1提问于2018-08-07得票数 22
回答已采纳
3回答
我使用Docker容器来构建这些项目(只使用一个带有Node.js + npm +yarn的公共镜像)。
构建的结果包含在我使用zip管道命令压缩的dist/文件夹中。我想使用SSH/SCP (使用私钥身份验证)将此ZIP文件复制到另一台服务器。我的私钥被添加到Jenkins环境(凭证管理器),但当我使用Docker容器时,无法建立SSH连接。我尝试添加agent { label 'master'
浏览 1提问于2017-05-29得票数 15
1回答
我的配置是一个带有Treafik容器和一个非常简单的Spring 'echo‘容器的简单Docker群()。预期将发挥作用:
localhost:8080 =>显示Traefik仪表板本地主机:8082&
浏览 2提问于2019-05-02得票数 0
回答已采纳
2回答
php多线程,mysql
、、、
我有一个php脚本,我用它来制作大约一百万个文件。每天对特定web服务的请求。
问题是,在“正常”的工作流程中,脚本几乎要工作一整天才能完成工作。因此,我已经开发了一个额外的组件。基本上,我开发了一个脚本,它使用多curl GET请求访问主脚本,为每500条记录生成一些随机的tempid,最后使用POST使用所有生成的tempid发出另一个多curl请求。然而,我觉得这不是正确的方式,所以我想要一些建议/解决方案,在不使用额外的/e
浏览 2提问于2011-01-30得票数 2
有一种方法可以将容器的/data/db目录链接到本地主机。但是我找不到任何关于配置的东西。如何将/etc/mongo.conf链接到本地文件系统中的任何内容。或者可能是其他方法。请分享你的经验。
浏览 1提问于2016-05-06得票数 29
回答已采纳
我运行的Docker容器主要是作为R语言的独立开发环境。(这里R的用法与这篇文章的其余部分是正交的,也就是说,您可以假设任何可以在repl-session中运行的通用程序。)因此,我更愿意选择显示我在容器中创建的图形。到目前为止,我是这样做的。首先,我创建一个Dockerfile。supervisord.conf /etc/supervisor/conf.d/superviso
浏览 0提问于2014-08-13得票数 64
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
