AppArmor

この記事はGMOペパボ Advent Calendar 2018の22日目の記事です(大遅刻)。 本当は今半期やってきた総括として、コンテナランタイムのセキュリティについて一からまとめたかったのですが、Linux Namespace の実装を読み始めたら迷子になってしまったので間に合いませんでした。 なので、今回は過去に見つかった AppArmor のバイパス方法を簡単にまとめようと思います。 2...

libapparmor に AppArmor のプロファイルの適用などに関するライブラリが用意されている。その中に execve のタイミングでプロファイルを変更する aa_change_onexec というものがある。 https://gitlab.com/apparmor/apparmor/blob/master/libraries/libapparmor/src/kernel.c#L481...