Docker Apparmor: различия между версиями
Материал из noname.com.ua
Перейти к навигацииПерейти к поискуSirmax (обсуждение | вклад) |
Sirmax (обсуждение | вклад) |
||
| Строка 14: | Строка 14: | ||
* создать симлинк <code>apparmor_parser -> /usr/sbin/apparmor_parser_wrapper</code> |
* создать симлинк <code>apparmor_parser -> /usr/sbin/apparmor_parser_wrapper</code> |
||
| + | |||
| + | По сути скрипт проверяет, а не докер ли пробует применить профиль (полагаясь на то что докер создает файл по опреденному пути <code>/var/lib/docker/tmp/docker-default***</code> |
||
| + | и если докер - то перекрывает профиль<BR> |
||
| + | Если же это не докер - то запускает как-есть |
||
| + | |||
| + | Про аппармор (к которому тоже есть вопросы, например я не нашел способа как посмотреть уже загруженные правила) |
||
| + | * https://oracle-patches.com/os/знакомство-с-apparmor-как-работать-с-модулем-безопасности-на-примерах |
||
| + | * https://habr.com/ru/companies/ruvds/articles/532988/ |
||
| + | * https://help.ubuntu.ru/wiki/руководство_по_ubuntu_server/безопасность/apparmor |
||
| + | * https://g-soft.info/articles/8928/kak-ispolzovat-apparmor/ |
||
| + | * https://itsecforu.ru/2018/12/04/введение-в-ubuntu-apparmor-и-настройку-профилей/ |
||
=Скрипт-обертка= |
=Скрипт-обертка= |
||
Текущая версия на 16:10, 8 октября 2023
Apparmor и Docker
Эта заметка возникла из-за того что современный докер не дает внятного средства что бы поправить профиль aparmor, так как не хранит конфигурацию локально, а генерит на лету, применяет и удаляет.
Если вдруг по какой-то причине нужно исправить - то нужен грязный хак
- забекапть оригинальный бинарник
/usr/sbin/apparmor_parser - создать скрипт
/usr/sbin/apparmor_parser_wrapper - создать симлинк
apparmor_parser -> /usr/sbin/apparmor_parser_wrapper
По сути скрипт проверяет, а не докер ли пробует применить профиль (полагаясь на то что докер создает файл по опреденному пути /var/lib/docker/tmp/docker-default***
и если докер - то перекрывает профиль
Если же это не докер - то запускает как-есть
Про аппармор (к которому тоже есть вопросы, например я не нашел способа как посмотреть уже загруженные правила)
- https://oracle-patches.com/os/знакомство-с-apparmor-как-работать-с-модулем-безопасности-на-примерах
- https://habr.com/ru/companies/ruvds/articles/532988/
- https://help.ubuntu.ru/wiki/руководство_по_ubuntu_server/безопасность/apparmor
- https://g-soft.info/articles/8928/kak-ispolzovat-apparmor/
- https://itsecforu.ru/2018/12/04/введение-в-ubuntu-apparmor-и-настройку-профилей/
Скрипт-обертка
#!/bin/bash
set -o pipefail
set -e
APPARMOR_PARSER="/usr/sbin/apparmor_parser.original"
DEFAUT_DOCKER_POLICY_FILE="/etc/docker/apparmor-defaut-policy"
TAG="apparmor_parser_wrapper"
echo "$*" 2>&1 | logger -t "[${TAG}]"
create_defaut_policy_file() {
DEFAULT_POLICY=$(cat <<EOF
#include <tunables/global>
profile docker-default flags=(attach_disconnected,mediate_deleted) {
#include <abstractions/base>
network,
capability,
file,
umount,
# Host (privileged) processes may send signals to container processes.
signal (receive) peer=unconfined,
# dockerd may send signals to container processes (for "docker kill").
signal (receive) peer=unconfined
,
# Container processes may send signals amongst themselves.
signal (send,receive) peer=docker-default,
deny @{PROC}/* w, # deny write for all files directly in /proc (not in a subdir)
# deny write to files not in /proc/<number>/** or /proc/sys/**
deny @{PROC}/{[^1-9],[^1-9][^0-9],[^1-9s][^0-9y][^0-9s],[^1-9][^0-9][^0-9][^0-9]*}/** w,
deny @{PROC}/sys/[^k]** w, # deny /proc/sys except /proc/sys/k* (effectively /proc/sys/kernel)
deny @{PROC}/sys/kernel/{?,??,[^s][^h][^m]**} w, # deny everything except shm* in /proc/sys/kernel/
deny @{PROC}/sysrq-trigger rwklx,
deny @{PROC}/kcore rwklx,
deny mount,
deny /sys/[^f]*/** wklx,
deny /sys/f[^s]*/** wklx,
deny /sys/fs/[^c]*/** wklx,
deny /sys/fs/c[^g]*/** wklx,
deny /sys/fs/cg[^r]*/** wklx,
deny /sys/firmware/** rwklx,
deny /sys/kernel/security/** rwklx,
# suppress ptrace denials when using 'docker ps' or using 'ps' inside a container
#ptrace (trace,read,tracedby,readby) peer=docker-default,
# Allow ptrace
ptrace (trace,read,tracedby,readby),
}
EOF
)
echo -e "${DEFAULT_POLICY}" > ${TMP_FILE}
echo -e "${DEFAULT_POLICY}" 2>&1 | logger -t "[$TAG]"
}
if [ $# -eq 2 ]; then
cat $2 >> /tmp/PROF
fi
echo $@ | grep -q "/var/lib/docker/tmp/docker-default" && {
echo "DOCKER DETECTED, build-in policy will be overriden" | logger -t "[${TAG}]"
if [[ -f "${DEFAUT_DOCKER_POLICY_FILE}" ]];
then
echo "Found defined default poicy: ${DEFAUT_DOCKER_POLICY_FILE}" | logger -t "[${TAG}]"
${APPARMOR_PARSER} -rK ${DEFAUT_DOCKER_POLICY_FILE} 2>&1 | logger -t "[]"
exit $?
else
echo "Not found default policy in the docker configuration (${DEFAUT_DOCKER_POLICY_FILE})" | logger -t "[${TAG}]"
TMP_FILE=$(mktemp)
create_defaut_policy_file
echo "Excecuting: ${APPARMOR_PARSER} -rK ${TMP_FILE} " 2>$1 | logger -t "[${TAG}]"
${APPARMOR_PARSER} -rK ${TMP_FILE} 2>&1 | logger -t "[${TAG}]"
rm -f ${TMP_FILE} 2>&1 | logger -t "[${TAG}]"
exit $?
fi
} || {
echo "NO DOCKER DETECTED, normal execution" | logger -t "[${TAG}]"
echo "${APPARMOR_PARSER} $*" | logger -t "[${TAG}]"
${APPARMOR_PARSER} $*
}
