¿Cuál es la mejor manera de abordar y generar perfiles de apparmor?

3

Estoy pensando en comenzar a crear perfiles de apparmor para mi servidor, pero antes de comenzar, quiero asegurarme de que lo estoy haciendo de la manera correcta.

Entonces, estoy pensando en comenzar con apache2 de perfiles. Ahora mismo estoy ejecutando un par de sitios web y algunos de los módulos apache no predeterminados como modsecurity .

Después de verificar aa-status , ya hay algunos de los perfiles predeterminados:

   /usr/sbin/clamd
   /usr/sbin/mysqld
   /usr/sbin/named
   /usr/sbin/tcpdump

Entonces, si disparo aa-genprof apache2 , devolverá:

Profiling: /usr/sbin/apache2

[(S)can system log for AppArmor events] / (F)inish

¿Qué debo hacer después de eso, reiniciar apache, navegar en mis sitios para detectar el movimiento de apache?

    
pregunta Mirsad 16.12.2016 - 18:50
fuente

2 respuestas

1

apparmor es proteger servicios ... por ejemplo, si "algo" intenta cambiar los archivos de configuración de un servicio protegido ... Mire this .

Para probarlo, debe intentar cambiar cualquier servicio ... No estoy seguro de cómo probarlo con apache, pero si el punto es la prueba si Apparmor está funcionando, puede hacerlo con otro servicio. Sé cómo funciona:

Si instala el paquete isc-dhcp-server, por defecto creo que ubuntu está protegiendo este servicio ... entonces puede intentar ejecutar el comando dhcpd configurando un archivo de configuración directamente en el comando (algo como dhcpd -d -cf <yourPathToConfigFile> <yourInterface> ) ... verá que no funciona, incluso si su archivo de configuración es bueno. Solo funciona si el archivo está en /etc/dhcpd/ .

    
respondido por el OscarAkaElvis 16.12.2016 - 20:36
fuente
0

El mayor problema (después de comprender cómo funcionan su sistema operativo, su servidor web y su sistema de accesos) es poder realizar una prueba de regresión total en su servidor. Catalogar todos los lugares donde interactúa con los archivos de su servidor es un comienzo, pero nunca revelará toda la historia. Y ejecutar un perfil automatizado no le dice nada hasta que lea lo que capturó.

Habiendo optimizado el perfil respecto a su catálogo y lo que sabe del diseño, sugeriría ejecutar un rastreador en su sitio y también usar enlace o similar para registrar las interacciones de prueba en modo de queja antes de aplicar.

    
respondido por el symcbean 17.12.2016 - 15:30
fuente

Lea otras preguntas en las etiquetas