Capítulo 2. Selecionando programas a imunizar

Sumário

2.1. Imunizar programas que concedem privilégios
2.2. Inspecionar portas abertas para imunizar programas

Programas de quarentena do Novell® AppArmor para proteger o restante do sistema de danos causados por um processo comprometido. Você deve inspecionar as suas portas para ver quais programas precisam de perfis (consulte a Seção 2.2, “Inspecionar portas abertas para imunizar programas” (↑Guia de Administração do Novell AppArmor 2.0)) e crie perfis para todos os programas que concedem privilégios (Seção 2.1, “Imunizar programas que concedem privilégios” (↑Guia de Administração do Novell AppArmor 2.0)).


2.1. Imunizar programas que concedem privilégios

Os programas para os quais devem ser criados perfis são os que mediam privilégios. Os programas a seguir têm acesso aos recursos que a pessoa a usar o programa não tem, de maneira que outorgam o privilégio para o usuário, quando usado:

tarefas cron

Os programas que são executados periodicamente por cron. Tais programas lêem a entrada de diversas fontes e podem ser executados com privilégios especiais, às vezes com privilégios de usuário Root. Por exemplo, cron pode executar /usr/bin/updatedb diariamente para manter o banco de dados locate atualizado com privilégios suficientes para ler o nome de todo arquivo do sistema. Para obter instruções sobre como encontrar estes tipos de programas, consulte a Seção 2.2.1, “Imunizando tarefas cron” (↑Guia de Administração do Novell AppArmor 2.0).

Aplicativos da Web

Os programas que podem ser chamados por um browser da Web, incluem scripts CGI Perl, páginas PHP e aplicativos mais complexos da Web. Para obter instruções sobre como encontrar esses tipos de programas, consulte a Seção 2.2.2, “Imunizando aplicativos da Web” (↑Guia de Administração do Novell AppArmor 2.0).

Agentes de rede

Programas (servidores e clientes) que têm portas de rede abertas. Clientes de usuário como clientes de e-mail e browsers da Web, surpreendentemente, mediam privilégios. Estes programas são executados com privilégios de gravar os diretórios home do usuários e processam entrada de fontes remotas potencialmente hostis, como sites da Web hostis e código de e-mail mal-intencionado. Para obter instruções sobre como encontrar esses tipos de programas, consulte a Seção 2.2.3, “Imunizando agentes de rede” (↑Guia de Administração do Novell AppArmor 2.0).

Por outro lado, programas sem privilégios não necessitam da criação de perfis. Por exemplo, um script de shell pode chamar o programa cp para copiar um arquivo. Como cp não tem seu próprio perfil, ele herda o perfil do script de shell pai, de maneira que pode copiar quaisquer arquivos que o perfil do script de shell pai possa ler e gravar.