Вопрос или проблема
Мой вопрос не касается преимуществ/недостатков новых ограничений пространства имен apparmor в Ubuntu 24.04 lts.
Я хотел знать, сделает ли отключение ограничений систему более “небезопасной”, чем 22.04 lts.
Например, для установки Docker Desktop я узнал, что это (в sysctl) отключит ограничения.
kernel.apparmor_restrict_unprivileged_userns = 0
Я проверил, что его значение по умолчанию 0 в 22.04.
Но я не уверен, является ли это единственным важным изменением в 24.04, и отмена этого может вызвать некоторые уязвимости, которые проверялись другими способами в 22.04, или являются ли это правильным способом отключения этого.
В целом, я думаю оставить эту функцию/ограничение таким же, как в предыдущем lts.
Вопрос находится вне рамок Docker, поскольку предполагается, что поддержка профилей apparmor во множестве приложений может занять много времени.
Я также был бы признателен за любые мнения по этому поводу. Вся ситуация стала для меня неожиданностью, так как у меня был приятный опыт с релизом .04.1 ранее. Дополнительная информация здесь и комментарий выше.
Ответ или решение
Отключение ограничений AppArmor в Ubuntu 24.04 по сравнению с 22.04 может оказать влияние на безопасность системы, и это требует детального анализа.
F – Факт
AppArmor является инструментом управления доступом, который ограничивает приложения в том, к каким ресурсам системы они могут обращаться. В Ubuntu 24.04 были внедрены новые ограничения, касающиеся пространств имен AppArmor, которые позволяют более гибко управлять правами доступа приложений. Вы правильно заметили, что в 22.04 значение параметра kernel.apparmor_restrict_unprivileged_userns по умолчанию равно 0, что позволяет приложениям работать с некоторыми изоляциями без дополнительных ограничений.
O – Объяснение
Если вы отключите эти ограничения в 24.04, это потенциально может сделать вашу систему менее безопасной, чем в 22.04, особенно если вы учитываете, что в новой версии были сделаны улучшения, касающиеся управления политиками безопасности. Например, новые возможности могут включать более тонкое управление доступом и, возможно, улучшенные профили безопасности для различных приложений.
Кроме того, отключение ограничений может привести к уязвимостям в приложениях, которые раньше не могли воздействовать на критически важные системы из-за наличия дополнительных ограничений. Вы также упомянули о Docker Desktop. Эта платформа активно использует AppArmor для обеспечения ограничения доступа контейнеров, таким образом, его отключение может создать дополнительные риски, если вы используете Docker для разработки или развертывания приложений.
R – Рекомендация
Рекомендуется, прежде чем отключать ограничения AppArmor, тщательно оценить ваши текущие требования безопасности и конфигурацию системы. Проверьте, какие приложения вы планируете использовать и как они зависят от AppArmor. Если имеется возможность, лучше всего оставлять ограничения включёнными, пока вы не получите мощные профили безопасности для ваших основных приложений.
E – Пример
Например, если у вас уже есть приложения с установленными профилями AppArmor, их отключение может привести к неожиданным последствиям, таким как увеличение векторов атак для злоумышленников. Это особенно актуально, если в вашей системе обрабатываются чувствительные данные.
S – Стороннее мнение
Ваше намерение сохранить ограничения в неизменном виде и ждать дальнейших изменений в поддержке профилей AppArmor со стороны приложений может быть вполне оправданным подходом. В сообществе Ubuntu уже обсуждаются вопросы о поддержке, и, возможно, некоторое время уйдет, прежде чем все приложения будут обновлены под новые ограничения.
T – Заключение
В итоге, отключение ограничений AppArmor в Ubuntu 24.04 может сделать систему более уязвимой по сравнению с 22.04 из-за упрощения доступа приложений к системным ресурсам. Это решение требует взвешенного подхода, оценки потенциальных рисков и последствий. Если нет веских причин для отключения, лучше оставить ограничения активными, чтобы сохранить уровень безопасности вашей системы.