8
AppArmor文档提到应用程序可以执行其他程序,无论是否使用环境清理。显然,清理后的环境更加安全,但文档似乎没有详细说明环境清理是如何发生的。AppArmor如何执行“环境清理”?
什么是环境清理?AppArmor如何清理环境?
A
回答
4
“环境清理”是去除可能用于影响二进制行为的各种“危险”环境变量 - 例如,LD_PRELOAD可用于使动态链接程序拉入代码中,这可以使本质上任意改变程序的运行;一些变量可以设置为导致跟踪输出到已知名称的文件;等等。
这种清理通常是作为安全措施为setuid/setgid二进制文件执行的,但内核提供了一个挂钩,以允许安全模块为任意其他二进制文件启用它。
内核的ELF加载器代码uses this hook设置AT_SECURE条目在传递给二进制文件的信息的“辅助矢量”中。 (对于该钩在AppArmor的代码的执行见here和here)
作为执行在用户空间启动时,dynamic linker picks up this value,并使用它来设置__libc_enable_secure标志;你会看到相同的例程还包含为setuid/setgid二进制文件设置此标志的代码。 (有equivalent code elsewhere针对静态链接的二进制文件。)
__libc_enable_secure影响许多在main body of the dynamic linker code的地方,并导致list of specific environment variables被移除。
相关问题
- 1. 如何处理在生产环境中执行即席查询?
- 2. Eclipse配置“执行环境”
- 3. 如何使用maven-invoker-plugin清理构建环境
- 4. 如何在Nant脚本中执行Teamcity中的环境变量(环境)
- 5. 执行清理代码?
- 6. 从环境变量执行批处理脚本
- 7. 脚本的执行环境(eshell vs bash)
- 8. 执行PHP脚本到Django环境?
- 9. 执行前加载环境变量
- 10. Ruby空白环境执行范围
- 11. pthread可以自行执行清理吗?
- 12. 如何在别名中添加并执行Windows环境变量
- 13. 如何检查Eclipse中使用的执行环境?
- 14. 如何使用用户环境在NodeJS中执行?
- 15. 如何使用`system()`在父shell环境中执行命令
- 16. 如何判断代码是否在knitr/rmarkdown环境中执行?
- 17. 如何使用php shell执行python虚拟环境文件?
- 18. 如何在执行cmd/c“command”后确定PATH环境变量?
- 19. 如何在ubuntu 10.04环境中执行命令(带参数)
- 20. 如何将执行环境传递给SGE
- 21. node - package.json:如何执行设置环境变量的脚本
- 22. 如何理解Ubuntu中的Ruby环境?
- 23. 如何处理非js环境?
- 24. 在C++中执行shell命令时强制执行环境bash
- 25. 如何在没有行号的情况下在Latex中执行代码清单(使用lstlisting环境时)
- 26. 如何循环Maven执行?
- 27. Apparmor和IPv6
- 28. 如何正确执行npm缓存清理?
- 29. 如何在exec-maven-plugin上执行清理脚本:exec失败?
- 30. 如何停止每个构建的清理执行?