Dokuwiki

Outils pour utilisateurs

Outils du site

Piste :
systeme:apparmor

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
systeme:apparmor [2015/08/15 10:11] rootsysteme:apparmor [2016/10/08 16:34] (Version actuelle) – [Liens] root
Ligne 3: Ligne 3:
   * [[http://wiki.apparmor.net/|Wiki Apparmor]]   * [[http://wiki.apparmor.net/|Wiki Apparmor]]
   * [[https://www.suse.com/documentation/sles-12/singlehtml/book_security/book_security.html#part.apparmor|SLES12]]   * [[https://www.suse.com/documentation/sles-12/singlehtml/book_security/book_security.html#part.apparmor|SLES12]]
 +  * [[https://debian-handbook.info/browse/fr-FR/stable/sect.apparmor.html|Exemples]]
 ===== Description ===== ===== Description =====
 AppArmor permet à l'administrateur système d'associer à chaque programme un profil de sécurité qui restreint ses accès au système d'exploitation. Il complète le traditionnel modèle d'Unix du contrôle d'accès discrétionnaire (DAC, Discretionary access control) en permettant d'utiliser le contrôle d'accès obligatoire (MAC, Mandatory access control). AppArmor permet à l'administrateur système d'associer à chaque programme un profil de sécurité qui restreint ses accès au système d'exploitation. Il complète le traditionnel modèle d'Unix du contrôle d'accès discrétionnaire (DAC, Discretionary access control) en permettant d'utiliser le contrôle d'accès obligatoire (MAC, Mandatory access control).
Ligne 14: Ligne 14:
   * **a** : Append mode (mutually exclusive to w)   * **a** : Append mode (mutually exclusive to w)
   * **k** : File locking mode   * **k** : File locking mode
-    * ux** : Execute unconfined (preserve environment) -- WARNING: should only be used in very special cases +  * **x** : Execute 
-    * Ux** : Execute unconfined (scrub the environment) +    * **ux** : Execute unconfined (preserve environment) -- WARNING: should only be used in very special cases 
-    * px** : Execute under a specific profile (preserve the environment) -- WARNING: should only be used in special cases+    * **Ux** : Execute unconfined (scrub the environment) 
 +    * **px** : Execute under a specific profile (preserve the environment) -- WARNING: should only be used in special cases
     * **Px** : Execute under a specific profile (scrub the environment)     * **Px** : Execute under a specific profile (scrub the environment)
     * **pix** : as px but fallback to inheriting the current profile if the target profile is not found     * **pix** : as px but fallback to inheriting the current profile if the target profile is not found
Ligne 35: Ligne 36:
   * **deny** : explicitly deny, without logging   * **deny** : explicitly deny, without logging
   * **audit deny** : combination to explicitly deny, but log   * **audit deny** : combination to explicitly deny, but log
-  * **quiet** : Enlève le flag audit+  * **quiet** : clears audit qualifier off of rules. Does it take precedence over audit like deny over allow
  
 <code> <code>
Ligne 175: Ligne 176:
  
 ===== apparmor_parser ===== ===== apparmor_parser =====
 +  * Voir ce qu'il y a de charger dans le profil apache2 :
 +<xtermrtf>
 +$ apparmor_parser -Q --debug /etc/apparmor.d/usr.sbin.apache2
 +</xtermrtf>
 +
 +<xtermrtf>
 +$ apparmor_parser -p /etc/apparmor.d/usr.sbin.apache2
 +</xtermrtf>
 +
   * Recharger le profile ping :   * Recharger le profile ping :
 <xtermrtf> <xtermrtf>
 $ apparmor_parser -r /etc/apparmor.d/bin.ping $ apparmor_parser -r /etc/apparmor.d/bin.ping
 </xtermrtf> </xtermrtf>
systeme/apparmor.1439633504.txt.gz · Dernière modification : 2015/08/15 10:11 de root