Qual è il modo migliore per avvicinarsi e generare profili di apparmor?

3

Sto pensando di iniziare a creare profili di apparmor per il mio server, ma prima di iniziare, voglio assicurarmi che lo stia facendo nel modo giusto.

Quindi, sto pensando di iniziare con apache2 profiling. In questo momento sto eseguendo un paio di siti web e alcuni moduli apache non predefiniti come modsecurity .

Dopo aver controllato aa-status , ci sono già alcuni profili predefiniti:

   /usr/sbin/clamd
   /usr/sbin/mysqld
   /usr/sbin/named
   /usr/sbin/tcpdump

Quindi, se lancio aa-genprof apache2 , restituirà:

Profiling: /usr/sbin/apache2

[(S)can system log for AppArmor events] / (F)inish

Cosa dovrei fare dopo, riavviare apache, navigare sui miei siti per catturare movimento di apache?

    
posta Mirsad 16.12.2016 - 18:50
fonte

2 risposte

1

L'apparmor serve a proteggere i servizi ... ad esempio se "qualcosa" tenta di cambiare i file di configurazione di un servizio protetto ... Guarda questo .

Per testarlo devi provare a cambiare qualsiasi servizio ... Non sei sicuro di come testarlo con apache, ma se il punto è test se apparmor funziona, puoi farlo con un altro servizio so come funziona:

Se installi il pacchetto isc-dhcp-server, per impostazione predefinita penso che Ubuntu stia proteggendo questo servizio ... allora puoi provare a lanciare il comando dhcpd impostando un file di configurazione direttamente nel comando (qualcosa come dhcpd -d -cf <yourPathToConfigFile> <yourInterface> ) ... vedrai che non funziona, anche se il tuo file di configurazione è buono. Funziona solo se il file è in /etc/dhcpd/ .

    
risposta data 16.12.2016 - 20:36
fonte
0

Il problema più grande (dopo aver capito come funzionano il tuo sistema operativo, il server web e l'apparmour) è riuscire a testare efficacemente il tuo server. Catalogare tutti i luoghi in cui interagisce con i file sul tuo server è un inizio, ma non rivelerà mai tutta la storia. E l'esecuzione di un profilo automatizzato non ti dice nulla finché non leggi ciò che ha catturato.

Avendo ottimizzato il profilo rispetto al tuo catalogo e cos'altro sai del design, ti suggerirei di eseguire un crawler contro il tuo sito e utilizzando anche collegamento o simile per registrare le interazioni di test in modalità di reclamo prima dell'applicazione.

    
risposta data 17.12.2016 - 15:30
fonte

Leggi altre domande sui tag