AppArmor:如何使用 CAP_SYS_ADMIN/CAP_SYS_CHROOT 阻止 pid=host 容器读取(某些)主机文件?
AppArmor: How to block pid=host container with CAP_SYS_ADMIN/CAP_SYS_CHROOT from reading (some) host files?
Given 是一个具有 pid=host 的容器(因此它位于初始 PID 命名空间中并且具有所有进程的完整视图)。此容器(而不是它的进程)还具有 CAP_SYS_ADMIN 和 CAP_SYS_CHROOT 功能,因此它可以使用 setns(2).
更改挂载命名空间
- 是否可以使用 AppArmor 阻止此容器访问主机(初始挂载命名空间)中的任意文件,除了某些文件,例如
/var/run/foo?
- AppArmor 如何根据挂载命名空间评估文件系统路径名?它是“忽略”挂载命名空间并只采用指定的路径,还是转换路径,例如在处理绑定挂载的子树等时?
AppArmor 架构的一个根深蒂固的限制是,在文件系统资源(文件、目录)的情况下,它使用访问路径来调解访问。虽然 AppArmor 和 SELinux 一样使用标签,但 AppArmor derives 仅 implicit 来自访问路径的文件系统资源标签。相比之下,SELinux 使用 explicit 标签,这些标签存储在支持 POSIX 扩展属性的文件系统上的文件的扩展属性中。
现在,访问路径始终是调用者当前挂载命名空间中看到的路径。可选地,AppArmor 可以考虑 chroot。所以第二个问题的答案是:AppArmor“忽略”挂载命名空间,只采用(访问)路径。据我所知,它不会翻译绑定安装(没有任何迹象表明它会这样做)。
至于第一个问题:一般来说“否”,由于 AppArmor 调解访问路径(标签),而不是文件资源标签。当接受容器内的内容与容器外的主机中的内容(与其他容器内的内容相同)之间没有任何访问路径差异时,可以进行有限的访问限制。这基本上就是 Docker's default container AppArmor profile 所做的:限制对一些高度敏感的 /proc/ 条目的所有访问,并限制对许多其他 /proc/ 条目的只读访问。
但是阻止对某些主机文件访问路径的访问总是伴随着阻止相同访问路径的危险,以便在容器内完全有效地使用(不同的挂载命名空间),因此这需要非常小心,大量的研究和测试,以及在容器的下一次更新中不断发生破坏的危险。 AppArmor seems to not be designed for such usecases.
Given 是一个具有 pid=host 的容器(因此它位于初始 PID 命名空间中并且具有所有进程的完整视图)。此容器(而不是它的进程)还具有 CAP_SYS_ADMIN 和 CAP_SYS_CHROOT 功能,因此它可以使用 setns(2).
- 是否可以使用 AppArmor 阻止此容器访问主机(初始挂载命名空间)中的任意文件,除了某些文件,例如
/var/run/foo? - AppArmor 如何根据挂载命名空间评估文件系统路径名?它是“忽略”挂载命名空间并只采用指定的路径,还是转换路径,例如在处理绑定挂载的子树等时?
AppArmor 架构的一个根深蒂固的限制是,在文件系统资源(文件、目录)的情况下,它使用访问路径来调解访问。虽然 AppArmor 和 SELinux 一样使用标签,但 AppArmor derives 仅 implicit 来自访问路径的文件系统资源标签。相比之下,SELinux 使用 explicit 标签,这些标签存储在支持 POSIX 扩展属性的文件系统上的文件的扩展属性中。
现在,访问路径始终是调用者当前挂载命名空间中看到的路径。可选地,AppArmor 可以考虑 chroot。所以第二个问题的答案是:AppArmor“忽略”挂载命名空间,只采用(访问)路径。据我所知,它不会翻译绑定安装(没有任何迹象表明它会这样做)。
至于第一个问题:一般来说“否”,由于 AppArmor 调解访问路径(标签),而不是文件资源标签。当接受容器内的内容与容器外的主机中的内容(与其他容器内的内容相同)之间没有任何访问路径差异时,可以进行有限的访问限制。这基本上就是 Docker's default container AppArmor profile 所做的:限制对一些高度敏感的 /proc/ 条目的所有访问,并限制对许多其他 /proc/ 条目的只读访问。
但是阻止对某些主机文件访问路径的访问总是伴随着阻止相同访问路径的危险,以便在容器内完全有效地使用(不同的挂载命名空间),因此这需要非常小心,大量的研究和测试,以及在容器的下一次更新中不断发生破坏的危险。 AppArmor seems to not be designed for such usecases.