내가 아는 한, AppArmor는 권한이 없는 프로그램에 권한을 부여할 수 없습니다(즉추가로 제한할 수 있습니다.) 그렇다면 먼저 모든 프로그램에 "모두 허용"을 한 다음 반복적으로 더 많은 규칙을 추가하고 기존 규칙을 미세 조정할 수 있습니까?
사람들은 마치 규칙 세트가 처음부터 정확해야 하는 것처럼 웹에서 이에 동의하지 않는 것 같습니다. 그러나 이것이 왜 그런지 이해가 되지 않습니다. 어느 정도 보호하는 것이 없는 것보다 낫지 않을까요?
밝히다:
- 반복 방법 지원 여부기술적으로앱아머에서 제공합니다. (아마도 "모두 허용"이나 기본 허용 목록 및 전용 블랙리스트 같은 것이 없을 수도 있습니다.)
- 이 접근 방식에는 보안 위험이 있습니까?
답변1
물론, 이것은 기술적으로 가능합니다. 하지만 가장 효율적인 작업 방법은 아닙니다.
처음부터 모든 것을 허용한다면 금지하는 것이 더 나은 것이 무엇인지 계속 추측해야 합니다. 당신은 사실상 맹목적으로 일하게 될 것입니다.
먼저 모든 작업을 비활성화하면 프로그램이 수행하려고 했던 작업과 수행하지 못한 작업에 대한 정보를 제공하는 프로그램 오류 메시지가 표시됩니다(아마도 지나치게 엄격한 AppArmor 규칙으로 인해). 또한 AppArmor가 프로그램에서 차단한 작업을 정확하게 알려주는 메시지를 시스템 감사 로그에서 받게 됩니다.정확히 프로그램에 필요한 것 외에는 아무것도 없습니다.
AppArmor 프로필은 다음에서도 찾을 수 있습니다.불만 모드: 이 모드에서 AppArmor는 실제로 프로그램이 어떤 작업도 수행하지 못하도록 막지는 않지만 감사 로그 메시지를 생성합니다.마치 그렇게 될 것처럼.따라서 AppArmor 프로필을 개발 중인 특정 애플리케이션의 중단을 최소화해야 하는 경우 불만 모드에서 "allow-nothing" 프로필로 시작하여 결과 감사 로그를 보고 허용하는 규칙을 추가할 수 있습니다. 합법적이며 현재 감사 메시지를 생성하고 있으며 앱에 대한 감사 메시지가 처음에 앱에서 수행하기를 원하지 않는 작업에 관한 것일 때까지 이 방식을 계속 반복합니다.
이 시점에서 AppArmor 프로필이 정확히 정확하거나 매우 가깝다는 것을 상당히 확신할 수 있으며 AppArmor 제한이 실제로 적용되는 적용 모드로 전환할 수 있습니다. 이 시점에서는 뭔가를 놓친 경우를 대비해 몇 가지 테스트를 수행하는 것이 현명할 것입니다. 하지만 이 프로세스를 거친 후에는 결과 프로필이 위험한 콘텐츠를 예상하지 못한 것을 실수로 허용하지 않을 것이라는 확신을 가질 수 있습니다.