-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2008-01-31 a las 21:58 +0100, Camaleón escribió:
El 31/01/08, Carlos E. R. escribió:
No, si se puede hacer... en el perfil del syslog-ng dices que:
/usr/local/bin/syslog-askandlogrouterip rUx,
y te deja ejecutarlo, pero cuando arranca el apparmour en vez de decir "done" te pone un texto de aviso y un "warning" o algo asín.
Ah, pues eso podría servir ¿no? Con tal de que lo deje pasar...
El problema es que sigue faltando algo, y como mi apparmor le ha dado un hipo, no registra en el log los problemas, con lo cual no puedo reparar lo que le falta porque no se que es:
nimrodel:~ # l /var/log/audit/audit.log - -rw-r--r-- 1 root root 0 Jan 31 01:03 /var/log/audit/audit.log
No puedes dar una lista blanca de programas, porque es un coladero.
Ya, vale, pero es "tu coladero" ;-) por tu cuenta y riesgo. ¿O me estás diciendo que el apparmor es más inteligente que el administrador? Si es así, mañana pido una "jubilación anticipada" >:-)
Pero una vez que activas un perfil para un proceso, tienes que listar todos y cada uno de los ficheros a los que accede. Si uno no está listado, le prohibe el acceso.
Si tienes un servidor con un servicio abierto al exterior (syslog puede recibir conexiones de la red) no puedes dejar que ejecute cualquier cosa. Tienes que encargarte tú de listar lo que puede ejecutar, y es más, que ficheros, uno a uno, puede abrir esa segunda aplicación.
Faale, pero que me explique el apparmor por qué bloquea un proceso que ha lanzado el syslog-ng, en qué se basa para determinar que es perjudicial...
En que no está en la lista, así de simple.
Si el syslog estuviera comprometido, y el intruso consiguiera lanzar un programa que luego permitiera de alguna forma al intruso lanzar comandos arbitrarios, ese es el agujero de seguridad que el AA tapa: no le deja ejecutar nada que no le hayan dicho de antemano que puede ejecutar.
Eso es lo que hace el apparmor: asegurarse de que las aplicaciones conectables no puedan acceder a ficheros o programas no previstos.
"No previstos"... ¿y qué hay "previsto" en un sistema? ¿acaso algo "previsto" no puede ser dañino? :-/
No es el sistema lo que protege, sino aplicaciones concretas. Debes proteger todas las aplicaciones que sirven a la red.
Sí, ya lo sé. Seguro que requiere configuración para que sea más flexible o se ajuste a las necesidades de cada sistema.
Claro. Pero el concepto fundamental es que sólo protege las aplicaciones concretas que se le dice, y a esas no les deja acceder a ningún fichero que no se le haya dicho, y con los permisos que se le ha dicho.
Bueno, si es que es una medida de seguridad considerable, y como todas las medidas de seguridad, incluyendo los seguratas, te tocan las narices de vez en cuando. La historia con el apparmor es que te olvidas que está ahí y no piensas en él cuando algo no funciona.
El problema es que tener activado algo que se sabe cómo funciona suele ser más problemático que beneficioso :-P.
Mmmm
<modo IA on>
Al menos podría haberte preguntado, si tenía dudas... "eh, tú, psss, oye, mira, que tengo un proceso que no sé muy bien qué es. Se llama "askandlogrouterip", me viene desde el "syslog-ng" y tiene "mu mala" pinta, pero ¿me dejas ejecutarlo?"
Mmmm ¿veo la sombra alargada de guillermito asomarse por ahí? :-P
</modo IA off>
O:-)
- -- Saludos Carlos E.R.