apparmor_monkeys 0.0.1

这是做什么的？

想象一下，你已经编写了一个简单的Django应用程序。也许你只是遵循了Django教程。你的所有代码只是进行一些数据库查询。然后你将其部署到AppArmor下，

type=AVC msg=audit(1443087838.797:1078): apparmor="DENIED" operation="exec" profile="helloworld-application" name="/bin/dash" pid=8202 comm="python" requested_mask="x" denied_mask="x" fsuid=999 ouid=0

突然间，你的审计日志充满了抱怨你的应用程序试图运行shell的消息。你肯定没有编写这样的代码。发生了什么事？你被黑客攻击了吗？

你没有（可能吧；）被黑客攻击。

实际上，Python在执行一些相当普通的事情时会调用shell。

• 你可以忽略它。让你的审计日志有拒绝条目，你不得不忽略它们。现在很难在监控中找到可疑行为。可能有问题，也可能没问题。希望你不需要让安全专家检查那个日志。

• 允许它。现在您的配置文件比所需的更广。您正在丢弃最初获得的安全。希望您不需要让安全专家查看该配置文件。

此包修复了几个stdlib API，以避免使用 subprocess，让您保持简单的配置文件和干净的审计日志。

sh -c "uname %s 2>%s"

激活猴子补丁

from apparmor_monkeys import patch_modules
patch_modules()

import apparmor_monkeys; apparmor_monkeys.patch_modules()

切换配置文件

您可以使用 change_profile 进一步强化您的 AppArmor 配置文件，在初始化您的应用程序后切换到不同的配置文件。

如果您使用的是多进程 gunicorn（即同步 gunicorn），则可以将您的工作进程包裹在其自己的特定配置文件中。在您的 gunicorn 配置中，您可以添加一个钩子来完成此操作

from apparmor_monkeys import change_profile

def post_fork(server, worker):
    change_profile("myapplication//worker")

您也可以对 celery 做同样的事情

from apparmor_monkeys import change_profile
from celery import signals

@signals.worker_process_init.connect
def switch_apparmor_profile(sender=None, signal=None):
    change_profile("tenselfservice-worker//worker")