-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-01-31 a las 18:11 +0100, Camaleón escribió:
El 31/01/08, Carlos E. R. escribió:
Fíjate que afinar este perfil es un peñazo de cuidado.
Pues abre un bug del tipo "mejora" para que el apparmor permita una lista blanca de programas (definidas por el administrador, claro está, persona altamente responsable y cualificada donde las "hayga" :-P) que se puedan ejecutar sin más historias O:-)
No, si se puede hacer... en el perfil del syslog-ng dices que: /usr/local/bin/syslog-askandlogrouterip rUx, y te deja ejecutarlo, pero cuando arranca el apparmour en vez de decir "done" te pone un texto de aviso y un "warning" o algo asín. No puedes dar una lista blanca de programas, porque es un coladero. Si tienes un servidor con un servicio abierto al exterior (syslog puede recibir conexiones de la red) no puedes dejar que ejecute cualquier cosa. Tienes que encargarte tú de listar lo que puede ejecutar, y es más, que ficheros, uno a uno, puede abrir esa segunda aplicación. Eso es lo que hace el apparmor: asegurarse de que las aplicaciones conectables no puedan acceder a ficheros o programas no previstos.
Hay que decirle al apparmour que deje que el syslog ejecute el programa externo, o bien en modo "confined" o "unconfined". En el primer caso hereda todas las prohibiciones, en el segundo ninguna. En el segundo caso funciona bien, pero es peligroso, se supone. En el primer caso es un peñazo, porque como el filtro llama a varios otros programas: expect, ssh, grep y cut, pues a todos ellos también hay que darles permiso. Y como el expect parece que usa tcl y abre o mira un montón de ficheros, pues no veas la cantidad de cosas que hay que abrirle para que funcione.
Pues no sé... la verdad es que nunca me he puesto a jugar con el apparmor, sólo lo tengo activado por recomendación de (ejem, ejem...) alguien >:-)
Bueno, si es que es una medida de seguridad considerable, y como todas las medidas de seguridad, incluyendo los seguratas, te tocan las narices de vez en cuando. La historia con el apparmor es que te olvidas que está ahí y no piensas en él cuando algo no funciona. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHoh03tTMYHG2NR9URAsmnAJ9latbPTQ2vtMH3+pWpCSdDPNoxUgCfeeug dxYxD0XQp9Uvm6q7A+xJ0F0= =1Xp7 -----END PGP SIGNATURE-----