Capítulo 2. Selección de programas que inmunizar

Tabla de contenidos

2.1. Inmunización de programas que otorgan privilegios
2.2. Inspección de los puertos abiertos para inmunizar programas

Novell® AppArmor pone en cuarentena programas para proteger el resto del sistema de los daños provocados por un proceso afectado. Deberá inspeccionar los puertos para comprobar para qué programas se deben crear perfiles (consulte la Sección 2.2, “Inspección de los puertos abiertos para inmunizar programas” (↑Guía de administración de Novell AppArmor 2.0)) y crear perfiles para todos los programas que otorguen privilegios (Sección 2.1, “Inmunización de programas que otorgan privilegios” (↑Guía de administración de Novell AppArmor 2.0)).


2.1. Inmunización de programas que otorgan privilegios

Los programas que necesitan perfiles son los que otorgan privilegios. Los siguientes programas tienen acceso a los recursos a los que la persona que usa el programa no tiene, de forma que otorgan el privilegio de acceso al usuario cuando éste lo necesita.

Tareas del daemon cron

Los programas que ejecuta de forma periódica el daemon cron. Estos programas leen los datos de entrada de diversas fuentes y pueden ejecutarse con privilegios especiales, a veces incluso con privilegios de usuario Root. Por ejemplo, cron puede ejecutar /usr/bin/updatedb todos los días para mantener actualizada la base de datos locate con privilegios suficientes para leer el nombre de todos los archivos del sistema. Para obtener instrucciones sobre cómo localizar este tipo de programas, consulte la Sección 2.2.1, “Inmunización de tareas de cron” (↑Guía de administración de Novell AppArmor 2.0).

Aplicaciones Web

Los programas que se pueden invocar mediante un navegador Web, por ejemplo, guiones CGI de Perl, páginas PHP y aplicaciones Web mucho más complejas. Para obtener instrucciones sobre cómo localizar este tipo de programas, consulte la Sección 2.2.2, “Inmunización de aplicaciones Web” (↑Guía de administración de Novell AppArmor 2.0).

Agentes de red

Programas (de servidores o de clientes) que tienen puertos de red abiertos. Los clientes del usuario, como los clientes de correo electrónico o los navegadores Web, aunque parezca sorprendente, otorgan privilegios. Estos programas se ejecutan con el privilegio de escritura en los directorios personales del usuario y procesan datos de entrada de fuentes remotas potencialmente hostiles, como sitios Web hostiles o código dañino enviado por correo electrónico. Para obtener instrucciones sobre cómo localizar este tipo de programas, consulte la Sección 2.2.3, “Inmunización de agentes de red” (↑Guía de administración de Novell AppArmor 2.0).

Por otro lado, no es necesario crear perfiles para los programas que no cuentan con privilegios. Por ejemplo, un guión de shell puede abrir el programa cp para copiar un archivo. Puesto que cp no cuenta con su propio perfil, hereda el perfil del guión de shell superior, de modo que puede copiar cualquier archivo que el perfil del guión de shell principal permita leer y escribir.