Kapitel 2. Auswählen zu immunisierender Programme

Inhaltsverzeichnis

2.1. Immunisieren von Programmen, die Berechtigungen gewähren
2.2. Inspizieren offener Ports zur Immunisierung von Programmen

Novell® AppArmor setzt Programme unter Quarantäne, um das übrige System vor Schäden durch einen gefährdeten Prozess zu schützen. Sie sollten Ihre Ports inspizieren, um zu sehen, welche Programme ein Profil erhalten sollten (siehe Abschnitt 2.2, „Inspizieren offener Ports zur Immunisierung von Programmen“ (↑ Novell AppArmor 2.0-Administrationshandbuch )), und Profile für alle Programme erstellen, die Berechtigungen gewähren (Abschnitt 2.1, „Immunisieren von Programmen, die Berechtigungen gewähren“ (↑ Novell AppArmor 2.0-Administrationshandbuch )).

2.1. Immunisieren von Programmen, die Berechtigungen gewähren

Programme, die Profile brauchen, sind solche, die Berechtigungen vermitteln. Die folgenden Programme haben abweichend von der Person, welche das Programm benutzt, Zugriff auf Ressourcen, d. h.. sie gewähren dem Benutzer bei ihrer Verwendung die Berechtigung:

Cron-Jobs

Programme die regelmäßig durch cron ausgeführt werden. Solche Programme lesen Eingaben von einer Vielzahl von Quellen und können mit speziellen Berechtigungen laufen, manchmal sogar mit root-Berechtigung. Beispiel: cron kann /usr/bin/updatedb täglich ausführen, um die locate-Datenbank auf dem neuesten Stand zu halten, und verfügt über genügend Berechtigungen, um den Namen jeder Datei im System zu lesen. Anleitungen zum Auffinden dieser Art von Programmen erhalten Sie unter Abschnitt 2.2.1, „Immunisieren von Cron-Jobs“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).

Webanwendungen

Programme, die sich durch einen Webbrowser aufrufen lassen, einschließlich CGI-Skripts in Perl, PHP-Seiten und komplexere Webanwendungen. Anleitungen zum Auffinden dieser Art von Programmen erhalten Sie unter Abschnitt 2.2.2, „Immunisieren von Webanwendungen“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).

Netzwerkagenten

Programme (Server und Clients) mit offenen Netzwerkports. Überraschenderweise vermitteln Benutzerclients wie Mail-Clients und Webbrowser Berechtigungen. Diese Programme werden mit der Berechtigung ausgeführt, in die Stammverzeichnisse des Benutzers zu schreiben, und sie verarbeiten Eingaben von potenziell feindseligen entfernten Quellen, wie feindseligen Websites und per E-Mail gesendeten bösartigen Code. Anleitungen zum Auffinden dieser Art von Programmen erhalten Sie unter Abschnitt 2.2.3, „Immunisieren von Netzwerkagenten“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).

Umgekehrt brauchen unprivilegierte Programme keine Profile. Beispiel: Ein Shellskript kann das Programm cp aufrufen, um eine Datei zu kopieren. Da cp über kein eigenes Profil verfügt, erbt es das Profil des übergeordneten Shell-Skripts und kann daher alle Dateien kopieren, die das Profil des übergeordneten Shell-Skripts lesen und schreiben kann.