AppArmor
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
AppArmor is a kernversterking wat ontwerp is om die hulpbronne wat beskikbaar is vir programme deur per-program profiele te beperk, wat effektief Verpligte Toegang Beheer (MAC) implementeer deur toegangbeheer eienskappe direk aan programme te koppel in plaas van aan gebruikers. Hierdie stelsel werk deur profiele in die kern te laai, gewoonlik tydens opstart, en hierdie profiele bepaal watter hulpbronne 'n program kan toegang hê, soos netwerkverbindinge, rou sokkettoegang, en lêer toestemmings.
Daar is twee operasionele modi vir AppArmor profiele:
Handhaving Modus: Hierdie modus handhaaf aktief die beleide wat binne die profiel gedefinieer is, en blokkeer aksies wat hierdie beleide oortree en enige pogings om dit te oortree deur stelsels soos syslog of auditd te log.
Klagte Modus: Anders as handhaving modus, blokkeer klagte modus nie aksies wat teen die profiel se beleide gaan nie. In plaas daarvan, log dit hierdie pogings as beleids oortredings sonder om beperkings af te dwing.
Kernmodule: Verantwoordelik vir die handhaving van beleide.
Beleide: Spesifiseer die reëls en beperkings vir programgedrag en hulpbron toegang.
Parser: Laai beleide in die kern vir handhaving of verslagdoening.
Hulpmiddels: Dit is gebruikersmodus programme wat 'n koppelvlak bied om met en die bestuur van AppArmor te werk.
Apparmor profiele word gewoonlik gestoor in /etc/apparmor.d/
Met sudo aa-status
sal jy in staat wees om die binaire te lys wat deur 'n profiel beperk word. As jy die karakter "/" kan verander in 'n punt in die pad van elke gelys binêre, sal jy die naam van die apparmor profiel binne die genoemde gids verkry.
Byvoorbeeld, 'n apparmor profiel vir /usr/bin/man sal geleë wees in /etc/apparmor.d/usr.bin.man
Om die betrokke uitvoerbare lêer aan te dui, absolute paaie en wildcard is toegelaat (vir lêer globbing) om lêers spesifiseer.
Om die toegang wat die binêre oor lêers sal hê aan te dui, kan die volgende toegangbeheer gebruik word:
r (lees)
w (skryf)
m (geheuekaart as uitvoerbaar)
k (lêer vergrendeling)
l (skepping harde skakels)
ix (om 'n ander program uit te voer met die nuwe program wat beleid erfen)
Px (uitvoer onder 'n ander profiel, na die omgewing skoongemaak is)
Cx (uitvoer onder 'n kind profiel, na die omgewing skoongemaak is)
Ux (uitvoer onbepaal, na die omgewing skoongemaak is)
Veranderlikes kan in die profiele gedefinieer word en kan van buite die profiel gemanipuleer word. Byvoorbeeld: @{PROC} en @{HOME} (voeg #include <tunables/global> by die profiel lêer)
Weier reëls word ondersteun om toelaat reëls te oorskry.
Om maklik 'n profiel te begin skep kan apparmor jou help. Dit is moontlik om apparmor die aksies wat deur 'n binêre uitgevoer word te laat ondersoek en dan jou te laat besluit watter aksies jy wil toelaat of weier. Jy moet net die volgende uitvoer:
Dan, in 'n ander konsole, voer al die aksies uit wat die binêre gewoonlik sal uitvoer:
Dan, druk in die eerste konsole "s" en dui dan in die opgeneemde aksies aan of jy wil ignoreer, toelaat, of wat ook al. Wanneer jy klaar is, druk "f" en die nuwe profiel sal geskep word in /etc/apparmor.d/path.to.binary
Met die pyle sleutels kan jy kies wat jy wil toelaat/weier/whatever
Jy kan ook 'n sjabloon van 'n apparmor profiel van 'n binêre skep met:
Let daarop dat niks standaard in 'n geskepte profiel toegelaat word nie, so alles word geweier. Jy sal lyne soos /etc/passwd r,
moet byvoeg om die binêre lees van /etc/passwd
toe te laat, byvoorbeeld.
Jy kan dan afdwing die nuwe profiel met
Die volgende hulpmiddel sal die logs lees en die gebruiker vra of hy sommige van die gedetecteerde verbode aksies wil toelaat:
Deur die pyltoetsen te gebruik, kan jy kies wat jy wil toelaat/ontken/ens.
Voorbeeld van AUDIT en DENIED logs van /var/log/audit/audit.log van die uitvoerbare service_bin
:
U kan ook hierdie inligting verkry deur:
Let op hoe die profiel docker-profile van docker standaard gelaai word:
By default Apparmor docker-default profiel is gegenereer van https://github.com/moby/moby/tree/master/profiles/apparmor
docker-default profiel Samevatting:
Toegang tot alle netwerk
Geen vermoë is gedefinieer (Echter, sommige vermoëns sal kom van die insluiting van basiese basisreëls i.e. #include <abstractions/base>)
Skryf na enige /proc lêer is nie toegelaat nie
Ander subgidse/lêers van /proc en /sys het weier lees/skryf/slot/skakel/uitvoer toegang
Monteer is nie toegelaat nie
Ptrace kan slegs op 'n proses wat deur dieselfde apparmor profiel beperk is, uitgevoer word
Sodra jy 'n docker-container hardloop, moet jy die volgende uitvoer sien:
Let wel dat apparmor selfs vermoënsprivileges wat aan die houer toegeken is, standaard sal blokkeer. Byvoorbeeld, dit sal in staat wees om toestemming te blokkeer om binne /proc te skryf selfs as die SYS_ADMIN vermoë gegee is omdat die docker apparmor-profiel hierdie toegang standaard weier:
U moet apparmor deaktiveer om sy beperkings te omseil:
Let daarop dat AppArmor standaard ook die houer sal verbied om vouers van binne te monteer, selfs met SYS_ADMIN vermoë.
Let daarop dat jy vermoëns aan die docker houer kan byvoeg/verwyder (dit sal steeds beperk wees deur beskermingsmetodes soos AppArmor en Seccomp):
--cap-add=SYS_ADMIN
gee SYS_ADMIN
vermoë
--cap-add=ALL
gee alle vermoëns
--cap-drop=ALL --cap-add=SYS_PTRACE
verwyder alle vermoëns en gee slegs SYS_PTRACE
Gewoonlik, wanneer jy vind dat jy 'n bevoorregte vermoë beskikbaar het binne 'n docker houer maar 'n deel van die ontploffing werk nie, sal dit wees omdat docker apparmor dit sal voorkom.
(Voorbeeld van hier)
Om AppArmor se funksionaliteit te illustreer, het ek 'n nuwe Docker-profiel “mydocker” geskep met die volgende lyn bygevoeg:
Om die profiel te aktiveer, moet ons die volgende doen:
Om die profiele te lys, kan ons die volgende opdrag uitvoer. Die onderstaande opdrag lys my nuwe AppArmor-profiel.
Soos hieronder getoon, kry ons 'n fout wanneer ons probeer om “/etc/” te verander aangesien die AppArmor-profiel skryftoegang tot “/etc” voorkom.
Jy kan vind watter apparmor-profiel 'n houer uitvoer deur:
Dan kan jy die volgende lyn uitvoer om die presiese profiel wat gebruik word te vind:
In die vreemde geval kan jy die apparmor docker-profiel wysig en dit herlaai. Jy kan die beperkings verwyder en "omseil" hulle.
AppArmor is pad-gebaseerd, dit beteken dat selfs al mag dit lêers binne 'n gids soos /proc
beskerm, as jy kan konfigureer hoe die houer gaan loop, kan jy die proc-gids van die gasheer binne /host/proc
monteer en dit sal nie meer deur AppArmor beskerm word nie.
In hierdie fout kan jy 'n voorbeeld sien van hoe selfs al verhoed jy dat perl met sekere hulpbronne uitgevoer word, as jy net 'n skulp-skrip specifiseer in die eerste lyn #!/usr/bin/perl
en jy voer die lêer direk uit, sal jy in staat wees om te voer wat jy wil. Byvoorbeeld:
Leer & oefen AWS Hacking:HackTricks Opleiding AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Opleiding GCP Red Team Expert (GRTE)