Proyectos

¡Esta es una revisión vieja del documento!

---

AppArmor funciona con periles para asegurar servicios espcificos.

• Es mas facil de aprender
• Viene por defecto en debian

ls /etc/apparmor ls /etc/apparmor aa-genprof /tu/app ls /sys/kernel/security/apparmor/ aa-status

Para generar un peril de alguna aplicacion ejecutamos: cp /usr/bin/vim /usr/local/bin/kim aa-genprof /usr/local/bin/kim

En otra sesion ejecutamos la aplicacion.

Luego en el aa-genprof le damos permisos a los directorios que deseemos. Al final guardamos y nos salimos.

Podemos ver los permisos con:

cat /etc/apparmor.d/usr.local.bin.kim # Last Modified: Tue Nov 12 01:39:21 2019 #include <tunables/global>

/usr/local/bin/kim {

#include <abstractions/base>

/home/ues/ r,
/lib/x86_64-linux-gnu/ld-*.so mr,
/usr/local/bin/kim mr,
owner /etc/* rw,
owner /etc/vim/vimrc r,
owner /root/* rw,
owner /usr/share/vim/** r,

}

Habilitamos la aplicacion kim en apparmor con aa-enforce /usr/local/bin/kim

Luego verificamos que podemos editar en esas carpetas pero no en otras.

kim /etc/hosts kim /tmp/pp

aa-complain # Monitorea una aplicacion especifica. aa-logprof # Monitorea aa-notify # notifica

• https://wiki.debian.org/AppArmor/HowToUse
• http://wiki.apparmor.net/index.php/Profiles