PDF de programación - Guía de administración de Novell AppArmor 2.0

Novell AppArmor

www.novell.com2.002/28/2006Guíadeadministración Guía de administración de Novell AppArmor 2.0

Autores: Leona Beatrice Campbell, Jana Jaeger

Esta publicación es propiedad intelectual de Novell Inc.

Su contenido puede duplicarse, ya sea en su totalidad o en parte, siempre que haya un símbolo de
copyright bien visible en cada copia.

Toda la información recogida en esta publicación se ha compilado prestando toda la atención posible
al más mínimo detalle. Sin embargo, esto no garantiza una precisión total. Ni SUSE LINUX GmbH,
los autores ni los traductores serán responsables de los posibles errores o las consecuencias que de
ellos pudieran derivarse.

Novell, el logotipo de Novell, el logotipo N y SUSE son marcas comerciales registradas de Novell,
Inc. en los Estados Unidos y en otros países. * Linux es una marca registrada de Linus Torvalds. El
resto de marcas comerciales de otros fabricantes pertenecen a sus propietarios respectivos.

Si tiene alguna sugerencia o comentario, diríjalos a [email protected].

Tabla de contenidos

Acerca de esta guía

1 Inmunización de programas

2 Selección de programas que inmunizar

2.1
2.2

.
Inmunización de programas que otorgan privilegios .
Inspección de los puertos abiertos para inmunizar programas .

.

.

.

v

1

3
3
4

.
.

.
.

.
.

.
.

.
.

.
.

3.1
3.2
3.3

3 Creación de perfiles de Novell AppArmor
.
.

11
11
Componentes y sintaxis de los perfiles .
.
Creación y gestión de perfiles de Novell AppArmor .
14
Creación de perfiles de Novell AppArmor con la interfaz gráfica de usuario de YaST
.
16
Creación de perfiles de Novell AppArmor mediante la interfaz de línea de comandos
.
40
.
45
.
Dos métodos de creación de perfiles .
66
Nombres de vías y englobamiento .
.
.
Modos de permiso de acceso a archivos .
67

3.4

3.5
3.6
3.7

.
.
.

.
.
.

.
.
.

.
.
.

.
.
.

.
.
.

.
.
.

.
.
.

.
.
.

.
.
.

.
.
.

.
.
.

.
.
.

.
.
.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.
.

.
.

.
.

.
.

.
.

.
.

.
.

.
.

.
.

.
.

.

4 Gestión de aplicaciones con perfiles

4.1
4.2
4.3
4.4
4.5

Monitorización de las aplicaciones protegidas .
Establecimiento de notificaciones de eventos .
.
Informes .
.
.
.
Reacción a los eventos de seguridad .
.
Mantenimiento de los perfiles de seguridad .
.

.
.

.
.

.

.

.

.

.

.

.

.

.

.

.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

71
71
72
76
98
99

5 Creación de perfiles para las aplicaciones Web mediante

ChangeHat de Apache
Apache ChangeHat .
5.1
.
Configuración de Apache para mod-apparmor .
5.2

.

.

.

.

.

.

.

.

.

.

.

.
.

.
.

.
.

.
.

.
.

.
.

.
.

.
.

.
.

.
.

.
.

6 Asistencia técnica

Actualización en línea de Novell AppArmor .
Uso de las páginas Man .
.
Información adicional
.
Solución de problemas .
.
Informe sobre errores de AppArmor .

.
.

.
.

.
.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.
.

.
.

.

.
.

.
.

.

.
.

.
.

.

.
.

.
.

.

.
.

.
.

.

.
.

.
.

.

.
.

.
.

.

.
.

.
.

.

.
.

.
.

.

.
.

.
.

.

.
.

.
.

.

.
.

.
.

6.1
6.2
6.3
6.4
6.5

Glosario

103
104
112

115
115
115
117
118
120

123

Acerca de esta guía

Novell® AppArmor está diseñado para ofrecer servicios de seguridad de fácil manejo
a las aplicaciones de los servidores y las estaciones de trabajo. Novell AppArmor es
un sistema de control de acceso que permite especificar qué archivos puede leer, escribir
y ejecutar cada programa. AppArmor protege las aplicaciones mediante la imposición
de buenas prácticas de comportamiento sin basarse en firmas de ataques, de forma que
se puedan prevenir estos ataques incluso si intentan explotar vulnerabilidades anterior-
mente desconocidas.

Novell AppArmor consta de:

• Una biblioteca de perfiles de AppArmor para las aplicaciones comunes de Linux*

en la que se describen los archivos a los que el programa necesita acceder.

• Una biblioteca de clases de base de perfil de AppArmor (bloques de creación de
perfiles) necesarios para las actividades de las aplicaciones comunes, como las
búsquedas DNS o la autenticación de usuarios.

• Un paquete de herramientas para el desarrollo y la mejora de perfiles de AppArmor,
para poder cambiar los perfiles existentes de forma que se adapten a sus necesidades
concretas y para crear nuevos perfiles para sus aplicaciones locales o personalizadas.

• Gran cantidad de aplicaciones especialmente modificadas compatibles con

AppArmor para ofrecer una seguridad mejorada en forma de limitación única de
subprocesos, incluido Apache.

• El módulo del núcleo cargable en Novell AppArmor y los guiones de control
asociados para aplicar directivas de AppArmor en el sistema SUSE® Linux.

Esta guía trata los tres temas siguientes:

Inmunización de programas

Describe las operaciones de Novell AppArmor.

Selección de programas que inmunizar

Describe los tipos de programas que deben contar con perfiles de Novell AppArmor
creados para ellos.

Creación de perfiles de Novell AppArmor

Describe cómo utilizar las herramientas de Novell AppArmor para inmunizar sus
propios programas o programas de otros fabricantes que pueda tener instalados en
el sistema SUSE Linux. También ayuda a añadir, editar o suprimir perfiles que se
hayan creado para las aplicaciones.

Gestión de aplicaciones con perfiles

Describe cómo efectuar el mantenimiento de los perfiles de Novell AppArmor, lo
que implica el seguimiento de problemas y preocupaciones habituales.

Creación de perfiles para las aplicaciones Web mediante ChangeHat de Apache

Permite crear subperfiles para el servidor Web Apache con los que será posible
limitar más estrechamente pequeñas secciones del procesamiento de la aplicación
Web.

Asistencia técnica

Describe las opciones de asistencia para este producto.

Glosario

Ofrece una lista de términos junto a sus definiciones.

1 Comentarios

Nos gustaría recibir sus comentarios o sugerencias acerca de este manual y del resto
de documentación incluida en este producto. Utilice la función de comentarios del
usuario situada en la parte inferior de las páginas de la documentación en línea e intro-
duzca ahí sus comentarios.

2 Convenciones de la documentación

En este manual se utilizan las siguientes convenciones tipográficas:

• /etc/passwd: nombres de archivos y de directorios.

• espacio reservado: se sustituye espacio reservado por el valor real.

• PATH: variable de entorno PATH.

vi

Guía de administración de Novell AppArmor 2.0

• ls, --help: comandos, opciones y parámetros.

• usuario: usuarios o grupos.

• Alt , Alt + F1 : tecla que pulsar o combinación de teclas. Aparecen en mayúsculas,

tal y como se muestran en el teclado.

• Archivo, Archivo → Guardar como: elementos de menú y botones.

• Pingüinos bailarines (capítulo Pingüinos, ↑Referencia): referencia a un capítulo

en otro libro.

Acerca de esta guía

vii

1

Inmunización de programas

Novell® AppArmor ofrece tecnología de inmunización que protege las aplicaciones
de SUSE Linux frente a las vulnerabilidades inherentes que tienen. Tras instalar Novell
AppArmor, configurar perfiles de Novell AppArmor y reiniciar el equipo, el sistema
queda inmunizado, ya que empieza a aplicar directivas de seguridad de Novell
AppArmor. La protección de programas con Novell AppArmor se denomina inmuni-
zación.

Novell AppArmor configura una serie de perfiles de aplicación por defecto para proteger
los servicios estándar de Linux. Para proteger otras aplicaciones, utilice las herramientas
de Novell AppArmor a fin de crear perfiles para las aplicaciones que desee proteger.
En este capítulo se describe la filosofía de inmunización de programas. Pase directamente
al Capítulo 3, Creación de perfiles de Novell AppArmor (p. 11) si considera que ya
está preparado para crear y gestionar perfiles de Novell AppArmor.

Novell AppArmor ofrece control de acceso perfeccionado para servicios de red,
indicando los archivos que cada programa tiene permitido leer, escribir y ejecutar. De
esta forma se garantiza que cada programa haga lo que se supone que debe hacer, y
nada más.

Novell AppArmor es un sistema de prevención de intrusiones en el host, o un esquema
de control de acceso obligatorio, optimizado para servidores. Anteriormente, los
esquemas de control de acceso se centraban en los usuarios, ya que se creaban para
grandes sistemas compartidos. Por otra parte, los servidores de redes modernos no
suelen permitir que los usuarios inicien sesiones, sino que ofrecen una gama de servicios
de red para los usuarios, como acceso a Web, correo, archivos e impresión. Novell
AppArmor controla el acceso otorgado a los servicios de red y a otros programas para
evitar que se puedan explotar las debilidades del sistema.

Inmunización de programas

1

2

Selección de programas que
inmunizar

Novell® AppArmor pone en cuarentena programas para proteger el resto del sistema
de los daños provocados por un proceso afectado. Deberá inspeccionar los puertos para
comprobar para qué programas se deben crear perfiles (consulte la Sección 2.2,
“Inspección de los puertos abiertos para inmunizar programas” (p. 4)) y crear perfiles
para todos los programas que otorguen privilegios (Sección 2.1, “Inmunización de
programas que otorgan privilegios” (p. 3)).

2.1 Inmunización de programas que

otorgan privilegios

Los programas que necesitan perfiles son los que otorgan privilegios. Los siguientes
programas tienen acceso a los recursos a los que la persona que usa el programa no
tiene, de forma que otorgan el privilegio de acceso al usuario cuando éste lo necesita.

Tareas del daemon cron

Los programas que ejecuta de forma periódica el daemon cron. Estos programas
leen los datos de entrada de diversas fuentes y pueden ejecutarse con privilegios
especiales, a veces incluso con privilegios de usuar