环境:
OS: Debian GNU/Linux 9.3 (stretch)
Kernel parameter: security=apparmor
这是我的测试配置文件(由 aa-genprof 创建):
/etc/apparmor.d/usr.bin.telnet.netkit
#include <tunables/global>
/usr/bin/telnet.netkit {
#include <abstractions/base>
/lib/x86_64-linux-gnu/ld-*.so mr,
/usr/bin/telnet.netkit mr,
deny network,
}
生效方式:
sudo systemctl reload apparmor.service
AppArmor状态:
$ sudo aa-status | grep telnet
/usr/bin/telnet
/usr/bin/telnet.netkit
但是当我测试telnet程序时:
$ telnet.netkit 127.0.0.1 22
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
SSH-2.0-OpenSSH_7.4p1 Debian-10+deb9u2
网络访问不会被拒绝。
这是进程状态:
$ ps auxZ | grep -v unconfined | grep telnet
/usr/bin/telnet.netkit (enforce) test 10410 0.0 0.0 19504 2852 pts/1 S+ 18:26 0:00 telnet.netkit 127.0.0.1 22
网络统计:
$ netstat -nap | grep telnet
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
tcp 0 0 127.0.0.1:56710 127.0.0.1:22 ESTABLISHED 10410/telnet.netkit
谁能帮忙找出个人资料有什么问题吗?多谢!
答案1
如果我没看错的话,你正在运行 debian。
问题是 debian 中的内核缺乏阻止网络连接所需的代码(与 D-Bus 缓解措施相同),因为补丁不是主线(但是,我知道有工作可以改变这种情况)。