Задумал я тут осилить мандатные ограничения, так уже вышло, что в моей Suse предустановлен AppArmor, ну значит с ним и ковыряюсь.
Начал с простенького, решил закрыть всем, в том числе и root возможность модифицировать файл /etc/Yubico/config с отпечатками для u2f. Читать, значит, его можно всем, напилил такое правило:
# Запретить всем процессам доступ на запись к файлу /etc/Yubico/config
abi <abi/3.0>,
include <tunables/global>
abi <abi/3.0>,
include <tunables/global>
profile deny-etc-yubico-config flags=(attach_disconnected) {
include <abstractions/base>
# Запретить запись в файл
deny /etc/Yubico/config w,
}
Скомпилировал:
sudo apparmor_parser -r /etc/apparmor.d/deny_etc_yubico_config
Применил:
sudo aa-enforce /etc/apparmor.d/deny_etc_yubico_config
И вот ведь, не работает… И что я сделал не так?
Ну хорошо, а дальше что? как сделать так, чтобы это правило не мог отключить даже root, а я мог?
Как вообще это работает?
PS. Сильно не пинайте, правда хочу разобраться.
Linux.org.ru: Форум – Security
Ваша реакция?
+1
+1
+1
+1
+1
+1
+1