Knoppia

Wiki de Informática y otras historias

Herramientas de usuario

Herramientas del sitio

Estás aquí: inicio » master_cs » fortificacion » p3
master_cs:fortificacion:p3

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
master_cs:fortificacion:p3 [2025/02/18 14:51] thejuanvisumaster_cs:fortificacion:p3 [2025/02/18 15:53] (actual) thejuanvisu
Línea 84: Línea 84:
 {{:master_cs:fortificacion:pasted:20250218-145044.png}} {{:master_cs:fortificacion:pasted:20250218-145044.png}}
  
-===== Crea un csgroup =====+===== 3. Crea un cgroup ===== 
 +Creamos un nuevo csgroup con el siguiente comando: 
 +<code> 
 +cd /sys/fs/cgroup/ 
 +mkdir grupo #Creamos el nuevo cgroup 
 +cd grupo 
 +</code> 
 +{{:master_cs:fortificacion:pasted:20250218-145523.png}} 
 + 
 +==== Abre un terminal y añade el shell de este al cgroup ==== 
 +<code> 
 +echo $$ #Obtenemos el ID del proceso del Shell (En este caso 1709) 
 +echo 1709 > cgroup.procs #Añadimos el proceso del shell al gproup 
 +</code> 
 +{{:master_cs:fortificacion:pasted:20250218-150155.png}} 
 +==== Desde ese mismo shell abre firefox y atril ==== 
 +{{:master_cs:fortificacion:pasted:20250218-150247.png}} 
 +==== Revisa el contenido de cgroup.procs y memory.current ==== 
 +{{:master_cs:fortificacion:pasted:20250218-150514.png}} 
 +{{:master_cs:fortificacion:pasted:20250218-150537.png}} 
 + 
 +==== Pon un 1 en cgroups.freeze ¿Que pasa? ¿Que hay ahora en memory.current? ==== 
 +Los programas que abrimos antes quedan congelados. El contenido de memory.current es ahora este: 
 +<WRAP column 100%> 
 +{{:master_cs:fortificacion:pasted:20250218-151059.png}} 
 +</WRAP> 
 +Este valor que podemos observar es la memoria consumida por los procesos de cgroup en bytes. Ahora el valor parece ser superior al que vimos anteriormente. Tras esto descongelamos el proceso poniendo un 0 en groups.freeze 
 + 
 +==== Pon los valores 30000 100000 en cpu.max ¿Que pasa? ==== 
 +<WRAP column 100%> 
 +{{:master_cs:fortificacion:pasted:20250218-151350.png}} 
 +</WRAP> 
 +Estamos limitando cuanto pueden consumir los procesos del cgroup, en este caso estamos limitando los procesos a un 30% 
 + 
 +==== 4. Crea una copia de ls, llámala listar y crea un perfil de apparmor vacío para ella ==== 
 +<WRAP column 100%> 
 +{{:master_cs:fortificacion:pasted:20250218-151949.png}} 
 +</WRAP> 
 +<code c> 
 +aa-easyprof /usr/bin/listar #Creamos archivo de configuración plantillaque debemos editar 
 +aa-easyprof /usr/bin/listar > /etc/apparmor.d/usr.bin.listar #Copiamos el archivo generado al apparmor 
 +nano /etc/apparmor.d/usr.bin.listar 
 +</code> 
 +Editamos el archivo añadiendo las reglas de denegación debajo de "# No read paths specified" 
 +<WRAP column 100%> 
 +{{:master_cs:fortificacion:pasted:20250218-153930.png}} 
 +</WRAP> 
 +Tras eso parseamos el archivo modificado para apparmor y habilitamos la política con enforce: 
 +<code> 
 +apparmor_parser -r /etc/apparmor.d/usr.bin.listar 
 +aa-enforce /usr/bin/listar 
 +</code> 
 + 
 +=== ¿Que pasa cuando se usa listar para mostrar /etc? === 
 + 
 +Nos sale que no tenemos permisos para ver el directorio 
 +<WRAP column 100%> 
 +{{:master_cs:fortificacion:pasted:20250218-154741.png}} 
 +</WRAP> 
 +=== ¿Que pasa cuando usas -l con otros directorios? === 
 + 
 +Se muestran pero sin nombres de usuario al que pertenecen ni grupos: 
 +<WRAP column 100%> 
 +{{:master_cs:fortificacion:pasted:20250218-154826.png}} 
 +</WRAP> 
  
master_cs/fortificacion/p3.1739890276.txt.gz · Última modificación: 2025/02/18 14:51 por thejuanvisu

Herramientas de la página

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki