私が知っている限り、AppArmorは権限のないプログラムに権限を付与できません(つまりさらに制限することができます。)もしそうなら、最初にすべてのプログラムに「すべて許可」してから、繰り返しより多くのルールを追加し、既存のルールを微調整することはできますか?
人々は、ルールセットが最初から正確でなければならないかのように、Web上でこれに同意しないようです。しかし、これがなぜそうなのか理解できません。どのくらい保護するものがないよりも優れていませんか?
言う:
- 繰り返しメソッドをサポートするかどうか技術的にアプリアーマーが提供します。 (おそらく、「すべて許可」、デフォルトホワイトリスト、専用ブラックリストなどがない可能性があります。)
- このアプローチにはセキュリティリスクがありますか?
ベストアンサー1
もちろん、これは技術的に可能です。しかし、最も効率的な作業方法ではありません。
最初からすべてを許可する場合は、禁止する方が良いことが何であるかを推測し続ける必要があります。あなたは事実上盲目的に働くでしょう。
まず、すべての操作を無効にすると、プログラムが実行しようとしていた操作と実行できなかった操作に関する情報を提供するプログラムエラーメッセージが表示されます(おそらく厳しいAppArmorルールのため)。また、AppArmorがプログラムによってブロックされた操作を正確に知らせるメッセージがシステム監査ログに表示されます。正確にプログラムに必要なもの以外は何もありません。
AppArmor プロファイルは、以下にもあります。苦情モード:このモードでは、AppArmorは実際にプログラムが何もしないようにしませんが、監査ログメッセージを生成します。まるでそうなるように。したがって、AppArmorプロファイルを開発している特定のアプリケーションの中断を最小限に抑える必要がある場合は、苦情モードで「allow-nothing」プロファイルから始めて、結果監査ログを表示および許可するルールを追加できます。正当であり、現在監査メッセージを生成しており、アプリに対する監査メッセージが最初にアプリで実行したくない操作に関するものになるまで、この方法を繰り返し続けます。
この時点で、AppArmorプロファイルが正確または非常に近いことをかなり確信でき、AppArmor制限が実際に適用される適用モードに切り替えることができます。この時点では、何かを逃した場合に備えていくつかのテストを実行するのが賢明でしょう。ただし、このプロセスを経た後、結果のプロファイルが危険なコンテンツを予期しなかったことを誤って許可しないという確信があるかもしれません。