正如我在另一个问题中回答的那样,AppArmor 和 SELinux 之间的主要区别在于标签。AppArmor 是基于路径的,而 SELinux 为每个对象添加了额外的标签。这就是为什么在第一次启动时自动重新标记以应用默认文件标签的原因。否则就不可能为文件访问编写有意义的策略,因为每个文件都将被认为是相同的(由于具有相同的标签)。
AppArmor 和 SELinux 都有不受限制的域,不限制进程。这两个系统也有抱怨模式(在 SELinux 中称为许可域),它只记录策略违规而不执行策略。AppArmor 和 SELinux 都在系统范围内启用,并且可以在两个系统中运行不受安全模块限制的进程。
在自动策略生成方面,两个系统都有相似的工具和机制。
AppArmor 配置文件可以使用aa-genprof和生成aa-logprof。aa-genprof创建一个基本配置文件并将其设置为投诉模式。运行程序后,可以从日志文件中生成规则。
SELinux 工具是policygentool和audit2allow. 主要区别还是文件标签,但policygentool可以自动为程序数据 (var)、配置文件和日志文件创建文件类型。然后可以在许可模式下加载策略,然后可以使用audit2allow.
| 归档时间: |
|
| 查看次数: |
808 次 |
| 最近记录: |