Capitolo 2. Selezione dei programmi da immunizzare

Sommario

2.1. Immunizzazione di programmi che concedono privilegi
2.2. Verifica di porte aperte per l'immunizzazione dei programmi

Novell® AppArmor mette in quarantena i programmi per impedire che il resto del sistema venga danneggiato da un processo compromesso. Esaminare le porte per individuare i programmi che necessitano di un profilo (vedere la Sezione 2.2, "Verifica di porte aperte per l'immunizzazione dei programmi" (↑Guida all'amministrazione di Novell AppArmor 2.0)) e definire un profilo per tutti i programmi con privilegi (Sezione 2.1, "Immunizzazione di programmi che concedono privilegi" (↑Guida all'amministrazione di Novell AppArmor 2.0)).


2.1. Immunizzazione di programmi che concedono privilegi

È necessario creare un profilo per i programmi che concedono privilegi. I programmi riportati di seguito dispongono dell'accesso alle risorse che trasferiscono all'utente che li utilizza.

Processi cron

Programmi eseguiti periodicamente da cron. Questi programmi leggono gli input da numerose origini e possono essere eseguiti con privilegi speciali, a volte con il privilegio massimo di root. cron ad esempio può eseguire /usr/bin/updatedb tutti i giorni per tenere aggiornato il database specificato con un privilegio che consenta la lettura del nome di ogni file nel sistema. Per istruzioni su come individuare questi tipi di programmi, vedere la Sezione 2.2.1, "Immunizzazione di processi Cron" (↑Guida all'amministrazione di Novell AppArmor 2.0).

Applicazioni Web

Programmi che possono essere invocati con un browser Web, inclusi script Perl CGI, pagine PHP e applicazioni Web più complesse. Per istruzioni su come individuare questi tipi di programmi, vedere la Sezione 2.2.2, "Immunizzazione di applicazioni Web" (↑Guida all'amministrazione di Novell AppArmor 2.0).

Agenti di rete

Programmi (server e client) con porte di rete aperte. I client utente, come ad esempio i client di posta e i browser Web, concedono privilegi. Questi programmi vengono eseguiti con il privilegio in scrittura nelle directory principali dell'utente ed elaborano gli input provenienti dalle origini remote potenzialmente pericolose, tra cui siti Web e codice dannoso inviato via e-mail. Per istruzioni su come individuare questi tipi di programmi, vedere la Sezione 2.2.3, "Immunizzazione di agenti di rete" (↑Guida all'amministrazione di Novell AppArmor 2.0).

I programmi senza privilegi non necessitano invece di alcun profilo. Uno script della shell può ad esempio invocare il programma cp per la copia di un file. Poiché cp non dispone di un profilo proprio, lo eredita dallo script della shell padre, pertanto può copiare tutti i file per i quali tale profilo dispone dei privilegi in lettura e scrittura.