AppArmor и SElinux в одной системе: возможно ли?

apparmor, debian, flatpak, selinux, snap

0

1

Привет всем. Однажды я уже создавал подобную тему, но ничего конкретного, к сожалению, не получил. Сейчас попробую поставить более чёткую цель: есть Flatpak и Snap. Первому для изоляции нужен SElinux, второму - AppArmor. Дистрибутив - Debian 9. AppArmor ставится и включается крайне просто, настройки не требует. И после установки snapd всё соответственно работает. Но Flatpak не умеет в AppArmor. Как быть если нужны оба этих формата пакетов? Возможно ли как-то вкорячить и AppArmor и SElinux на одну систему? Звучит конечно безумно, но всё же. И если кто в курсе - планируется ли в Snap поддержка SElinux, а во Flatpak - поддержка AppArmor?

Ссылка

←	Adduser без интерактивности

iptables - запретить всё, кроме списка разрешённых, всем, кроме списка разрешённых

→

Первому для изоляции нужен SElinux,

Нет.

Возможно ли как-то вкорячить и AppArmor и SElinux на одну систему?

Да, но зачем?

Aceler ★★★★★
(16.08.17 13:10:57 MSK)

Ответ на: комментарий от Aceler 16.08.17 13:10:57 MSK

Первому для изоляции нужен SElinux,

Нет.

Разве?

Для изоляции используется прослойка Bubblewrap и традиционные для Linux технологии контейнерной виртуализации, основанные на использовании cgroups, пространств имён (namespaces), Seccomp и SELinux.

Sunderland93 ★★★★★
(16.08.17 13:18:39 MSK) автор топика

Ответ на: комментарий от Sunderland93 16.08.17 13:18:39 MSK

Читаем первоисточники:

https://github.com/flatpak/flatpak/wiki:

The sandboxing is done with a set of technologies, including:

cgroups
namespaces
Wayland (because X11 is inherently insecure)

На странице https://github.com/flatpak/flatpak/wiki/Sandbox SELinux упоминается как потенциальная технология для песочницы, не более того.

Aceler ★★★★★
(16.08.17 13:25:27 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Adduser без интерактивности

Admin

iptables - запретить всё, кроме списка разрешённых, всем, кроме списка разрешённых

→