A los efectos de configurar AppArmor o SE Linux, estoy buscando auditar a qué archivos podría necesitar acceso un programa.
Mi entendimiento es que el final de AppArmor o SE Linux, es restringir los procesos a un conjunto de archivos que pueden leer, crear o modificar para asegurarse de que un proceso no esté fuera de sus límites establecidos; lo que desde un punto de vista de seguridad parece indicar que un servidor ha sido comprometido.
Encontré un tutorial que usa strace para determinar qué archivos están siendo utilizado por un proceso.
Parece que esto podría convertirse en algo difícil de determinar cuando se consideran cosas como:
- nombres de archivos temporales
- Jerarquía de procesos
- Tablas temporales de la base de datos
- Complementos del programa
¿Hay algo más que deba tener en cuenta al intentar determinar a qué archivos accede un programa?
Además, ¿existen repositorios creados previamente que puedan incluir configuraciones para configurar la seguridad de tales cosas?