Diferencias

Muestra las diferencias entre dos versiones de la página.

--- master_cs:fortificacion:p3 [2025/02/18 15:15] – thejuanvisu
+++ master_cs:fortificacion:p3 [2025/02/18 15:53] (actual) – thejuanvisu
@@ Línea 84: / Línea 84: @@
 {{:master_cs:fortificacion:pasted:20250218-145044.png}}
-===== Crea un cgroup =====
+===== 3. Crea un cgroup =====
 Creamos un nuevo csgroup con el siguiente comando:
 <code>
@@ Línea 113: / Línea 113: @@
 ==== Pon los valores 30000 100000 en cpu.max ¿Que pasa? ====
-<WRAP>
+<WRAP column 100%>
 {{:master_cs:fortificacion:pasted:20250218-151350.png}}
 </WRAP>
 Estamos limitando cuanto pueden consumir los procesos del cgroup, en este caso estamos limitando los procesos a un 30%
+==== 4. Crea una copia de ls, llámala listar y crea un perfil de apparmor vacío para ella ====
+<WRAP column 100%>
+{{:master_cs:fortificacion:pasted:20250218-151949.png}}
+</WRAP>
+<code c>
+aa-easyprof /usr/bin/listar #Creamos archivo de configuración plantillaque debemos editar
+aa-easyprof /usr/bin/listar > /etc/apparmor.d/usr.bin.listar #Copiamos el archivo generado al apparmor
+nano /etc/apparmor.d/usr.bin.listar
+</code>
+Editamos el archivo añadiendo las reglas de denegación debajo de "# No read paths specified"
+<WRAP column 100%>
+{{:master_cs:fortificacion:pasted:20250218-153930.png}}
+</WRAP>
+Tras eso parseamos el archivo modificado para apparmor y habilitamos la política con enforce:
+<code>
+apparmor_parser -r /etc/apparmor.d/usr.bin.listar
+aa-enforce /usr/bin/listar
+</code>
+=== ¿Que pasa cuando se usa listar para mostrar /etc? ===
+Nos sale que no tenemos permisos para ver el directorio
+<WRAP column 100%>
+{{:master_cs:fortificacion:pasted:20250218-154741.png}}
+</WRAP>
+=== ¿Que pasa cuando usas -l con otros directorios? ===
+Se muestran pero sin nombres de usuario al que pertenecen ni grupos:
+<WRAP column 100%>
+{{:master_cs:fortificacion:pasted:20250218-154826.png}}
+</WRAP>

Knoppia

Herramientas de usuario

Herramientas del sitio

Diferencias

Herramientas de la página