AppArmor
WhiteIntel ni injini ya utaftaji inayotumia dark-web ambayo inatoa huduma za bure za kuangalia ikiwa kampuni au wateja wake wameathiriwa na malware za wizi.
Lengo kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulio ya ransomware yanayotokana na programu hasidi za kuiba taarifa.
Unaweza kutembelea tovuti yao na kujaribu injini yao bure kwa:
Taarifa Msingi
AppArmor ni uboreshaji wa kernel ulioundwa kuzuia rasilimali zilizopo kwa programu kupitia maelezo ya kila programu, kutekeleza Kudhibiti wa Kufikia lazima (MAC) kwa kuunganisha sifa za kudhibiti ufikiaji moja kwa moja kwa programu badala ya watumiaji. Mfumo huu hufanya kazi kwa kupakia maelezo ya kila programu kwenye kernel, kawaida wakati wa kuanza, na maelezo haya yanadhibiti ni rasilimali gani programu inaweza kupata, kama vile uhusiano wa mtandao, ufikiaji wa soketi za moja kwa moja, na ruhusa za faili.
Kuna njia mbili za uendeshaji kwa maelezo ya AppArmor:
Hali ya Utekelezaji: Hali hii inatekeleza kikamilifu sera zilizoelezwa ndani ya maelezo, kuzuia vitendo vinavyokiuka sera hizi na kuingiza majaribio yoyote ya kuzivunja kupitia mifumo kama syslog au auditd.
Hali ya Malalamiko: Tofauti na hali ya utekelezaji, hali ya malalamiko haikatazi vitendo vinavyokwenda kinyume na sera za maelezo. Badala yake, inaingiza majaribio haya kama uvunjaji wa sera bila kutekeleza vizuizi.
Vipengele vya AppArmor
Moduli ya Kernel: Inayowajibika kwa utekelezaji wa sera.
Sera: Hufafanua sheria na vizuizi kwa tabia ya programu na ufikiaji wa rasilimali.
Mchambuzi: Hupakia sera kwenye kernel kwa utekelezaji au kuripoti.
Zana: Hizi ni programu za mode ya mtumiaji zinazotoa kiolesura cha kuingiliana na kusimamia AppArmor.
Njia za Maelezo
Maelezo ya Apparmor kawaida hufutwa katika /etc/apparmor.d/
Kwa sudo aa-status
utaweza kuorodhesha programu ambazo zinaruhusiwa na maelezo fulani. Ikiwa unaweza kubadilisha herufi "/" kwa kipindi cha njia ya kila programu iliyoorodheshwa utapata jina la maelezo ya apparmor ndani ya folda iliyotajwa.
Kwa mfano, maelezo ya apparmor kwa /usr/bin/man yatakuwa yanapatikana katika /etc/apparmor.d/usr.bin.man
Amri
Kuunda wasifu
Ili kuelezea programu inayohusika, njia kamili na manyoya huruhusiwa (kwa ajili ya kutambua faili) kwa kufafanua faili.
Ili kuelezea upatikanaji wa programu kuu kwa faili zifuatazo mamabara ya upatikanaji yanaweza kutumika:
r (soma)
w (andika)
m (ramani ya kumbukumbu kama inayoweza kutekelezwa)
k (kufunga faili)
l (kuunda viungo vya ngumu)
ix (kutekeleza programu nyingine na programu mpya kurithi sera)
Px (kutekeleza chini ya wasifu mwingine, baada ya kusafisha mazingira)
Cx (kutekeleza chini ya wasifu wa mtoto, baada ya kusafisha mazingira)
Ux (kutekeleza bila kizuizi, baada ya kusafisha mazingira)
Viarasa vinaweza kutajwa katika maelezo na vinaweza kubadilishwa kutoka nje ya wasifu. Kwa mfano: @{PROC} na @{HOME} (ongeza #include <tunables/global> kwenye faili ya wasifu)
Mipangilio ya kukataa inasaidia kubadilisha viwango vya kuruhusu.
aa-genprof
Ili kuanza kwa urahisi kuunda wasifu, apparmor inaweza kukusaidia. Ni rahisi kufanya apparmor ichunguze vitendo vilivyofanywa na programu na kisha kuruhusu au kukataa vitendo unavyotaka. Unahitaji tu kukimbia:
Kisha, kwenye konsoli tofauti tekeleza hatua zote ambazo kawaida binary itatekeleza:
Kisha, kwenye konsoli ya kwanza bonyeza "s" na kisha kwenye hatua zilizorekodiwa eleza ikiwa unataka kupuuza, kuruhusu, au chochote. Ukimaliza bonyeza "f" na wasifu mpya utaundwa katika /etc/apparmor.d/path.to.binary
Kwa kutumia mishale unaweza kuchagua unachotaka kuruhusu/kukataa/chochote
aa-easyprof
Unaweza pia kuunda kiolezo cha wasifu wa apparmor wa binary kwa:
Tafadhali elewa kwamba kwa chaguo-msingi katika wasifu ulioundwa hakuna kitu kilichoruhusiwa, kwa hivyo kila kitu kimekataliwa. Utahitaji kuongeza mistari kama /etc/passwd r,
kuruhusu kusoma faili ya binary /etc/passwd
kwa mfano.
Unaweza kisha kuimarisha wasifu mpya na
Kubadilisha wasifu kutoka kwenye magogo
Zana ifuatayo itasoma magogo na kuuliza mtumiaji ikiwa anataka kuruhusu baadhi ya vitendo vilivyogunduliwa ambavyo ni marufuku:
Kwa kutumia mishale unaweza kuchagua unachotaka kuruhusu/kukataa/au chochote
Usimamizi wa Wasifu
Kumbukumbu
Mfano wa AUDIT na DENIED kumbukumbu kutoka /var/log/audit/audit.log ya programu inayoweza kutekelezwa service_bin
:
Unaweza pia kupata habari hii kwa kutumia:
Apparmor katika Docker
Tafadhali kumbuka jinsi wasifu docker-profile wa docker unavyopakiwa kwa chaguo-msingi:
Kwa chaguo-msingi Profaili ya Apparmor ya docker-default inatengenezwa kutoka https://github.com/moby/moby/tree/master/profiles/apparmor
Muhtasari wa Profaili ya docker-default:
Upatikanaji wa mtandao wote
Uwezo wowote haujatambuliwa (Hata hivyo, baadhi ya uwezo utatoka kwa kuingiza sheria za msingi kama vile #include <abstractions/base>)
Kuandika kwenye faili yoyote ya /proc hairuhusiwi
Vidirisha vingine/faili vya /proc na /sys vinakatazwa upatikanaji wa kusoma/kuandika/kufunga/kuunganisha/kutekeleza
Kufunga hairuhusiwi
Ptrace inaweza kufanywa kwenye mchakato ambao umefungwa na profaili ile ile ya apparmor
Maranyingi unapoendesha chombo cha docker unapaswa kuona matokeo yafuatayo:
Tafadhali elewa kwamba apparmor itazuia hata uwezo wa ruhusa zilizotolewa kwa chombo kwa chaguomsingi. Kwa mfano, itaweza kuzuia ruhusa ya kuandika ndani ya /proc hata kama uwezo wa SYS_ADMIN umetolewa kwa sababu kwa chaguomsingi, maelezo ya apparmor ya docker yanakataa ufikio huu:
Unahitaji kulemaza apparmor ili kuzidi vizuizi vyake:
Tafadhali elewa kwamba kwa chaguo-msingi AppArmor pia itazuia kontena kufunga folda kutoka ndani hata na uwezo wa SYS_ADMIN.
Tafadhali elewa kwamba unaweza kuongeza/kuondoa uwezo kwa kontena ya docker (hii bado itazuiliwa na njia za ulinzi kama AppArmor na Seccomp):
--cap-add=SYS_ADMIN
inatoa uwezo waSYS_ADMIN
--cap-add=ALL
inatoa uwezo wote--cap-drop=ALL --cap-add=SYS_PTRACE
inaondoa uwezo wote na kutoa tuSYS_PTRACE
Kawaida, unapopata kwamba una uwezo wa kipekee uliopo ndani ya kontena ya docker lakini sehemu fulani ya kudukua haifanyi kazi, hii ni kwa sababu apparmor ya docker itakuwa inazuia.
Mfano
(Mfano kutoka hapa)
Ili kufafanua utendaji wa AppArmor, niliunda wasifu mpya wa Docker "mydocker" na mstari ufuatao ulioongezwa:
Ili kuanzisha wasifu, tunahitaji kufanya yafuatayo:
Kutaja maelezo, tunaweza kutumia amri ifuatayo. Amri hapa chini inataja maelezo yangu ya AppArmor mpya.
Kama inavyoonekana hapa chini, tunapata kosa tunapojaribu kubadilisha "/etc/" kwani wasifu wa AppArmor unazuia ufikiaji wa kuandika kwenye "/etc".
Kizuizi cha AppArmor cha Docker Bypass1
Unaweza kujua ni wasifu gani wa apparmor unatumika kwenye kontena kwa kutumia:
Kisha, unaweza kukimbia mstari ufuatao kupata wasifu sahihi unao tumika:
Katika kesi ya ajabu unaweza kurekebisha wasifu wa apparmor wa docker na kuuweka upya. Unaweza kuondoa vizuizi na "kuvuka" yao.
Kuvuka AppArmor ya Docker2
AppArmor inategemea njia, hii inamaanisha hata kama inaweza kulinda faili ndani ya saraka kama /proc
ikiwa unaweza kuweka jinsi kontena itakavyotekelezwa, unaweza kufunga saraka ya proc ya mwenyeji ndani ya /mwenyeji/proc
na hakitakuwa tena kilinziwa na AppArmor.
Kuvuka Shebang ya AppArmor
Katika kosa hili unaweza kuona mfano wa jinsi hata kama unazuia perl kutumika na rasilimali fulani, ikiwa tu unajenga script ya shel ukiainisha kwenye mstari wa kwanza #!/usr/bin/perl
na utekelezi faili moja kwa moja, utaweza kutekeleza chochote unachotaka. K.m.:
WhiteIntel ni injini ya utaftaji inayotumia dark-web ambayo inatoa huduma za bure za kuangalia ikiwa kampuni au wateja wake wameathiriwa na malware za kuiba.
Lengo kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulio ya ransomware yanayotokana na malware za kuiba taarifa.
Unaweza kutembelea tovuti yao na kujaribu injini yao bure kwa:
Last updated