Forum Linux.général AppArmor : de la sureté de lancer un audit d'application en super-utilisateur (root)

Posté par  . Licence CC By‑SA.
2
29
avr.
2019

Je précise : je ne suis expert en rien…

Je pose la question, car je suis surpris de la démarche… Dans les tutos ou même le manuel utilisateur, il est demandé de lancer, sans aucun état d'âme, par exemple, la commande suivante :

sudo aa-genprof /chemin/vers/mon/processus

What ?!!! Cela n'étonne t-il que moi ?

Alors,
1- Pourquoi nulle part il est mentionné le problème de sureté que cela occasionne ?
2- Il existe une méthode pour créer un profil, sans utiliser les outils, tout manuelle. Cette méthode permet de lancer l'application en tant qu'utilisateur. C'est beaucoup plus laborieux…
3- Je n'ai pas trouvé, mais ne peut-on pas lancer les outils de surveillance en leur demandant de s'attacher au processus parent ?

Merci pour vos réponses.

  • # Gni?

    Posté par  . Évalué à 6. Dernière modification le 29/04/19 à 16:42.

    1- Pourquoi nulle part il est mentionné le problème de sureté que cela occasionne ?

    Parce qu'il n'y en a pas? Si tu ne fais pas confiance au logiciel d'audit, reconstruis-le à partir des sources ou n'audite pas!

    ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

    • [^] # Re: Gni?

      Posté par  . Évalué à 4.

      Effectivement, on parle d'un outil de la suite app armor ici … pas d'un vague script shell publié par un quidam lamba: si tu ne fais pas confiance à apparmor et au binaire compilés par les mainteneurs de ta distri, il vaut mieux partir sur du LFS et faire tout toi même…

      Après, peut être que, pour cet audit, le binaire en question a besoin des droits root …

      Dans le cas présent, le privilège root me parait, par exemple, essentiel pour "tracer" les besoins d'un process type Apache ou autre qui est lancé en tant que root puis fait du privileges dropping après coup ..

      • [^] # Re: Gni?

        Posté par  . Évalué à 2.

        Le problème n'est pas celui des outils AppArmor me semble t-il, mais celui de devoir lancer l'application à auditer en tant que root.
        Pour réaliser l'audit d'Eclipse, il m'est demander de faire :

        sudo aa-autodep /opt/eclipse/java-2019-03/eclipse/eclipse

        Je conçois que aa-autodep ait besoin des droits SU pour faire l'audit, mais qu'eclipse soit exécuté en root me gêne beaucoup…

        • [^] # Re: Gni?

          Posté par  . Évalué à 1. Dernière modification le 02/05/19 à 16:49.

          C'est effectivement troublant que le programme à audité soit lancé en root.
          Es-tu sûr que aa-autodep lance le programme à auditer sous le même utilisateur que lui-même ?

          Je ne connais pas ce logiciel, mais si j'en été le concepteur j'aurais tenté de lancer le programme enfant sous un utilisateur non problématique (tenté de = pas forcément possible suivant les opérations à réaliser).

  • # Help

    Posté par  . Évalué à -3.

    Helllllo,
    Je suis débutant sur Linux Debian 8 et j'ai commis l'erreur de bidouiller le fichier mot de passe dans etc/ passwd.
    Plus exactement, en voulant donnant les droits root à un user classique j'ai modifié le fichier passwd et depuis, le système se lance au démarrage avec un "failed to start LSB exim mail transport agent exim4.service" et puis plus rien.
    Est-ce que je dois tout réinstaller selon vous ?
    Merci à vous.

    Ps: j'ai bêtement suivi un conseil stupide qui disait que pour modifier les droits d'un user en root, on pouvait modifier directement le fichier /etc/passwd. C'est une connerie.

    • [^] # Re: Help

      Posté par  (site Web personnel) . Évalué à 6. Dernière modification le 29/04/19 à 20:02.

      Repose ta question en ouvrant un nouveau sujet sur le forum… (et précise ce que tu as modifié)

      Python 3 - Apprendre à programmer dans l'écosystème Python → https://www.dunod.com/EAN/9782100809141

  • # C'est pas ton executable

    Posté par  . Évalué à 3.

    La commande aa-genprof ne fait que lire le fichier de log de audit (/var/log/audit/audit.log) pour l'application indiquée.

    Mais c'est à toi de lancer l'application dans une autre fenêtre

    • [^] # Re: C'est pas ton executable

      Posté par  . Évalué à 2.

      Oui. C'est exact ! Merci ! Je suis allé trop vite, et j'avais finalement rien compris!
      Le tuto en question est ici.
      Le cas qui me pose problème (l'application à auditer est lancer en root) c'est celui là : «processus à durée limitée».
      Mais pour moi qui voulait faire l'audit d'Eclipse, j'aurais dû d'avantage m'intéresser à celui-ci : «processus de type daemon» qui ne pose aucun problème de sécurité puisque jamais l'application à auditer ne doit être lancée en super-utilisateur.

      En effet, pour réaliser l'audit de l'application Eclipse :

      > # 1) on créé un profil pour Eclipse (NB : eclipse est dans le PATH)
      > sudo aa-autodep eclipse
      > # 2) on lance l'application à auditer 
      > eclipse &
      > # *) on fait faire l'audit régulièrement, à mesure des nouvelles fonctionnalités
      > #    utilisées, sans besoin de quitter Eclipse
      > sudo aa-logprof
      > # 4) Quand on considère l'audit terminé, on quitte Eclipse, et on active/impose le profil eclipse
      > sudo aa-enforce eclipse

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.