¿Puede el atacante salir de la cárcel de apparmor con el siguiente perfil?

5

A continuación se muestra un perfil de ejemplo que he creado para aplicaciones web, en el que tengo archivos / comandos limitados a los que puede acceder. Incluye perfiles para nginx, php-fpm and mysql , no se permiten comandos, solo algunos directorios / archivos para acceso de lectura / escritura / flock y socket de red.

(El resto se encuentra en mi repositorio github )

/usr/bin/php-fpm {
  #include <abstractions/base>

  capability chown,
  capability kill,
  capability setgid,
  capability setuid,

  # Suppress the "DENY" error logs
  deny /usr/bin/bash x,

  /etc/php/** r,
  /run/php-fpm/ r,
  /run/php-fpm/php-fpm.* w,
  /usr/bin/php-fpm mr,
  /usr/lib/php/modules/* mr,

  /var/html/{**,} r,

  # logs
  /var/log/ r,
  /var/log/php*.log w,

  # Web folders that need write access
  /var/html/icy/{cache,logs,files,images,downloads}/{**,} rwk,
}

Ahora mismo creo que después de una explotación remota exitosa, el atacante solo puede afectar a la carpeta de la aplicación web y no puede comprometer más el sistema,

Entonces, mi pregunta es, ¿todavía hay una posibilidad para que el atacante salga de esto?

¿Y cómo?

    
pregunta daisy 21.05.2013 - 16:41
fuente

1 respuesta

1

Por supuesto. Su perfil (y NO el perfil de apparmor) no hace nada para limitar la superficie de ataque del kernel. Un atacante puede explotar el kernel, desenganchar el apparmor y estar fuera.

  

solo algunos directorios / archivos para acceso de lectura / escritura / flock y red   zócalo.

Note eso? Eso es agregar cientos de archivos más a tu perfil. Si bien su perfil puede parecer bastante ajustado, de hecho, permite bastante acceso.

Dicho esto, no hay problemas masivos que sobresalgan. Sin UX, sin acceso de escritura a cosas realmente críticas. Pero esas capacidades apestan, ¿estás seguro de que son necesarias? Probablemente son

    
respondido por el IBit 24.12.2013 - 23:58
fuente

Lea otras preguntas en las etiquetas