Forum Linux.général AppArmor : de la sureté de lancer un audit d'application en super-utilisateur (root)

Posté par minitchoup le 29 avril 2019 à 11:29. Licence CC By‑SA.

Étiquettes :

avr.

2019

Je précise : je ne suis expert en rien…

Je pose la question, car je suis surpris de la démarche… Dans les tutos ou même le manuel utilisateur, il est demandé de lancer, sans aucun état d'âme, par exemple, la commande suivante :

sudo aa-genprof /chemin/vers/mon/processus

What ?!!! Cela n'étonne t-il que moi ?

Alors,
1- Pourquoi nulle part il est mentionné le problème de sureté que cela occasionne ?
2- Il existe une méthode pour créer un profil, sans utiliser les outils, tout manuelle. Cette méthode permet de lancer l'application en tant qu'utilisateur. C'est beaucoup plus laborieux…
3- Je n'ai pas trouvé, mais ne peut-on pas lancer les outils de surveillance en leur demandant de s'attacher au processus parent ?

Merci pour vos réponses.

# Gni?

Posté par ʭ ☯ le 29 avril 2019 à 16:41. Évalué à 6. Dernière modification le 29 avril 2019 à 16:42.

1- Pourquoi nulle part il est mentionné le problème de sureté que cela occasionne ?

Parce qu'il n'y en a pas? Si tu ne fais pas confiance au logiciel d'audit, reconstruis-le à partir des sources ou n'audite pas!

⚓ À g'Auch TOUTE! http://afdgauch.online.fr
- [^] # Re: Gni?
  
  Posté par LaBienPensanceMaTuer le 30 avril 2019 à 16:56. Évalué à 4.
  
  Effectivement, on parle d'un outil de la suite app armor ici … pas d'un vague script shell publié par un quidam lamba: si tu ne fais pas confiance à apparmor et au binaire compilés par les mainteneurs de ta distri, il vaut mieux partir sur du LFS et faire tout toi même…
  
  Après, peut être que, pour cet audit, le binaire en question a besoin des droits root …
  
  Dans le cas présent, le privilège root me parait, par exemple, essentiel pour "tracer" les besoins d'un process type Apache ou autre qui est lancé en tant que root puis fait du privileges dropping après coup ..
  - [^] # Re: Gni?
    
    Posté par minitchoup le 02 mai 2019 à 10:48. Évalué à 2.
    Le problème n'est pas celui des outils AppArmor me semble t-il, mais celui de devoir lancer l'application à auditer en tant que root.
    Pour réaliser l'audit d'Eclipse, il m'est demander de faire :
```
sudo aa-autodep /opt/eclipse/java-2019-03/eclipse/eclipse
```
    Je conçois que aa-autodep ait besoin des droits SU pour faire l'audit, mais qu'eclipse soit exécuté en root me gêne beaucoup…
    - [^] # Re: Gni?
      
      Posté par Kerro le 02 mai 2019 à 16:46. Évalué à 1. Dernière modification le 02 mai 2019 à 16:49.
      
      C'est effectivement troublant que le programme à audité soit lancé en root.
      Es-tu sûr que aa-autodep lance le programme à auditer sous le même utilisateur que lui-même ?
      
      Je ne connais pas ce logiciel, mais si j'en été le concepteur j'aurais tenté de lancer le programme enfant sous un utilisateur non problématique (tenté de = pas forcément possible suivant les opérations à réaliser).
# Help

Posté par zorba le 29 avril 2019 à 19:44. Évalué à -3.

Helllllo,
Je suis débutant sur Linux Debian 8 et j'ai commis l'erreur de bidouiller le fichier mot de passe dans etc/ passwd.
Plus exactement, en voulant donnant les droits root à un user classique j'ai modifié le fichier passwd et depuis, le système se lance au démarrage avec un "failed to start LSB exim mail transport agent exim4.service" et puis plus rien.
Est-ce que je dois tout réinstaller selon vous ?
Merci à vous.

Ps: j'ai bêtement suivi un conseil stupide qui disait que pour modifier les droits d'un user en root, on pouvait modifier directement le fichier /etc/passwd. C'est une connerie.
- [^] # Re: Help
  
  Posté par lolop (site web personnel) le 29 avril 2019 à 20:01. Évalué à 6. Dernière modification le 29 avril 2019 à 20:02.
  
  Repose ta question en ouvrant un nouveau sujet sur le forum… (et précise ce que tu as modifié)
  
  Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
# C'est pas ton executable

Posté par Ambroise le 04 mai 2019 à 07:42. Évalué à 3.

La commande aa-genprof ne fait que lire le fichier de log de audit (/var/log/audit/audit.log) pour l'application indiquée.

Mais c'est à toi de lancer l'application dans une autre fenêtre
- [^] # Re: C'est pas ton executable
  
  Posté par minitchoup le 04 mai 2019 à 11:31. Évalué à 2.
  Oui. C'est exact ! Merci ! Je suis allé trop vite, et j'avais finalement rien compris!
  Le tuto en question est ici.
  Le cas qui me pose problème (l'application à auditer est lancer en root) c'est celui là : «processus à durée limitée».
  Mais pour moi qui voulait faire l'audit d'Eclipse, j'aurais dû d'avantage m'intéresser à celui-ci : «processus de type daemon» qui ne pose aucun problème de sécurité puisque jamais l'application à auditer ne doit être lancée en super-utilisateur.
  
  En effet, pour réaliser l'audit de l'application Eclipse :
```
> # 1) on créé un profil pour Eclipse (NB : eclipse est dans le PATH)
> sudo aa-autodep eclipse
> # 2) on lance l'application à auditer 
> eclipse &
> # *) on fait faire l'audit régulièrement, à mesure des nouvelles fonctionnalités
> #    utilisées, sans besoin de quitter Eclipse
> sudo aa-logprof
> # 4) Quand on considère l'audit terminé, on quitte Eclipse, et on active/impose le profil eclipse
> sudo aa-enforce eclipse
```

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.