El 31/01/08, Carlos E. R. escribió:
El problema es que sigue faltando algo, y como mi apparmor le ha dado un hipo, no registra en el log los problemas, con lo cual no puedo reparar lo que le falta porque no se que es:
nimrodel:~ # l /var/log/audit/audit.log - -rw-r--r-- 1 root root 0 Jan 31 01:03 /var/log/audit/audit.log
¿Pero es algo que hace por "diseño" propio o por el "hipo"?
Pero una vez que activas un perfil para un proceso, tienes que listar todos y cada uno de los ficheros a los que accede. Si uno no está listado, le prohibe el acceso.
Enga, ya ;-)... ¿y qué sé yo de los procesos que ejecuta un programa o a qué archivos necesita acceder? Yo no soy el programa, y no puedo saberlo... ni apparmor tampoco sabe si se trata de algo bueno o malo :-P Mira, la prueba del ocho es que te ha denegado la ejecución de un script inocuo. Y no, no me vale tener que decirle antes que es "inocuo". Esa técnica de cerrar todo (impedir su ejecución) y permitir sólo lo que está definido en el perfil no es práctico... ...imagina que te cuelan por e-mail un script que permite alterar los perfiles de apparmor de forma automática, y que da permisos a un programa (que también te cuelan por e-mail) "destructivo"... y el apparmor no se cosca de nada porque está definido en el perfil. Ya está demostrado que el uso de patrones (o firmas, como utilizan los antivirus actuales) no sirve de gran cosa. Hacen falta herramientas "inteligentes" que controlen los procesos de forma "precisa" y en base a parámetros de autoaprendizaje (hum, sí, de tipo bayesiano o semántico). Y no, no deben "preguntar" nunca al usuario ;-).
En que no está en la lista, así de simple.
Ese es el problema, que es muy simple :-). No, entiendo que pueda ser útil y el concepto no es malo.
Si el syslog estuviera comprometido, y el intruso consiguiera lanzar un programa que luego permitiera de alguna forma al intruso lanzar comandos arbitrarios, ese es el agujero de seguridad que el AA tapa: no le deja ejecutar nada que no le hayan dicho de antemano que puede ejecutar.
Ya.
No es el sistema lo que protege, sino aplicaciones concretas. Debes proteger todas las aplicaciones que sirven a la red.
¿Sólo relacionadas con la red? :-?
Claro. Pero el concepto fundamental es que sólo protege las aplicaciones concretas que se le dice, y a esas no les deja acceder a ningún fichero que no se le haya dicho, y con los permisos que se le ha dicho.
Entiendo.
Mmmm ¿veo la sombra alargada de guillermito asomarse por ahí? :-P
Y la de los antivirus, cortafuegos y antipsywares... "tos" te preguntan qué tienen que hacer... salvo zypper cuando va a auto-destruirse porque está en modo "best-effort+check_architecture+do_not_disturb_user" y decide por él mismo >:-) (Es broma :-P) Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org