H3C CAStools (qemu-ga) AppArmor 安全策略文档

本文档提供 `H3C CAStools (qemu-ga)` 的高安全性 AppArmor 配置。策略采用“全局放行 + 核心阻断”模式，在保证进程各类底层操作（如系统命令调用、状态监控等）畅通无阻的同时，彻底锁死 `/root` 目录，并从内核层级防止其篡改或卸载安全策略（防逃逸）。

## 1. 策略配置代码

请将以下内容完整写入覆盖 `/etc/apparmor.d/usr.sbin.qemu-ga` 文件：

```apparmor
#include <tunables/global>

profile usr.sbin.qemu-ga /usr/sbin/qemu-ga {
  # 基础运行环境
  #include <abstractions/base>

# 1. 全局权限放行与子进程强制继承 (ix)
  capability,
  network,
  signal,
  ptrace,
  mount,
  remount,
  umount,
  pivot_root,
  unix,
  dbus,
  /** mrwlkix,

# 2. 防逃逸：禁止篡改内核安全机制或卸载 AppArmor
  deny capability mac_admin,
  deny capability mac_override,
  deny capability sys_module,
  deny /sys/kernel/security/apparmor/** rwklx,
  deny /etc/apparmor*/** w,
  deny /etc/apparmor.d/** w,
  deny /sbin/apparmor_parser x,
  deny /usr/sbin/apparmor_parser x,
  deny /lib/systemd/system/apparmor.service w,

# 3. 核心禁区：绝对禁止访问和读取 /root 及其内容
  deny /root/ mrwklx,
  deny /root/** mrwklx,
}
```

## 2. 部署与生效

修改配置后，执行以下命令使策略生效并重启服务：

```bash
# 将最新策略加载到系统内核
apparmor_parser -r /etc/apparmor.d/usr.sbin.qemu-ga

# 重新启动 qemu-ga 服务
systemctl restart qemu-ga

# 检查服务是否正常运行
systemctl status qemu-ga
```

## 3. 安全性验证测试

你可以使用 `aa-exec` 工具模拟 `qemu-ga` 的受限环境，快速验证策略是否成功阻断了敏感操作。

**测试阻断 /root 访问：**
```bash
aa-exec -p usr.sbin.qemu-ga -- ls -la /root
aa-exec -p usr.sbin.qemu-ga -- touch /root/test.txt
# 预期结果：两步操作均报错 Permission denied
```

**测试防逃逸机制：**
```bash
aa-exec -p usr.sbin.qemu-ga -- /sbin/apparmor_parser --help
aa-exec -p usr.sbin.qemu-ga -- ls /sys/kernel/security/apparmor/
# 预期结果：两步操作均报错 Permission denied
```