====== [Fort]Práctica 3: Securizando Aplicaciones ======

===== 1. Abre un navegador y realiza una descarga =====
==== Revisa con el TOP el consumo de CPU ====
Firefox (Proceso 110216) está consumiendo en torno al 60% de la CPU como podemos ver en la siguiente captura:
{{:master_cs:fortificacion:pasted:20250218-140416.png}}

==== Usa cpulimit para reducir el consumo de CPU a 1/5 del que usa ====
Para realizar esto ejecutaremos los siguientes comandos:
<code c>
cd /sys/fs/cgroup/ 
mkdir firefox #Creamos el cgroup para firefox
cd firefox
</code>
<WRAP column 100%>
{{:master_cs:fortificacion:pasted:20250218-141526.png}}
</WRAP>
Tras eso añadimos firefox al cgroup y procedemos a limitar su consumo de CPU
<code c>
echo 110216 > cgroup.procs#Metemos el proceso de firefox en el cgroup
echo 200000 1000000 > cpu.max #Limitamos el uso de CPU al 20%
</code>
<WRAP column 100%>
{{:master_cs:fortificacion:pasted:20250218-141651.png}}
</WRAP>
==== Resultado ====
Como se puede observar, el consumo ha bajado y ahora consume un 20% máximo.
{{:master_cs:fortificacion:pasted:20250218-141754.png}}

===== 2. Crea un container Debian y arráncalo =====
Para arrancar un container debian usamos el siguiente comando:
<code>
lxc-create -t debian -n deb
</code>
==== Establece una contraseña para el usuario root del container ====
Para ello debemos entrar primero a la máquina con el siguiente comando para abrir la terminal del contenedor:
<code>
lxc-start #Arrancamos la máquina
lxc-attach -n deb /bin/sh #Llamamos a la terminal
</code>
<WRAP column 100%>
{{:master_cs:fortificacion:pasted:20250218-142719.png}}
</WRAP>

Tras eso procedemos a establecer la contraseña del root con el siguiente comando:
<code>
passwd root
</code>
{{:master_cs:fortificacion:pasted:20250218-142912.png}}
==== Añade 3 usuarios ====
Desde el mismo sitio que hemos establecido la contraseña para el root procedemos a crear los 3 usuarios:
<code>
su - root
useradd -m -s /bin/bash usuario1
useradd -m -s /bin/bash usuario2
useradd -m -s /bin/bash usuario3
</code>
{{:master_cs:fortificacion:pasted:20250218-143239.png}}

==== Instala apache 2 y ssh en el container ====
Comenzamos instalando apache 2:
<WRAP column 100%>
{{:master_cs:fortificacion:pasted:20250218-143343.png}}
</WRAP>

Tras eso procedemos a instalar SSH:

<WRAP column 100%>
{{:master_cs:fortificacion:pasted:20250218-143549.png}}
</WRAP>
==== Cambia la dirección de red en el container para usar una dirección de red estática ====
Para establecer una IP estática usamos el siguiente comando:
<code>
sudo ifconfig eth0 10.0.3.68 netmask 255.255.255.0 up
</code>

{{:master_cs:fortificacion:pasted:20250218-144508.png}}

==== Cambial el puerto de SSH al 222 ====
Vamos a la ruta /etc/ssh y modificamos el archivo sshd_config:
{{:master_cs:fortificacion:pasted:20250218-144810.png}}

==== Modifica el archivo de configuración del container ====
{{:master_cs:fortificacion:pasted:20250218-145044.png}}

===== 3. Crea un cgroup =====
Creamos un nuevo csgroup con el siguiente comando:
<code>
cd /sys/fs/cgroup/
mkdir grupo #Creamos el nuevo cgroup
cd grupo
</code>
{{:master_cs:fortificacion:pasted:20250218-145523.png}}

==== Abre un terminal y añade el shell de este al cgroup ====
<code>
echo $$ #Obtenemos el ID del proceso del Shell (En este caso 1709)
echo 1709 > cgroup.procs #Añadimos el proceso del shell al gproup
</code>
{{:master_cs:fortificacion:pasted:20250218-150155.png}}
==== Desde ese mismo shell abre firefox y atril ====
{{:master_cs:fortificacion:pasted:20250218-150247.png}}
==== Revisa el contenido de cgroup.procs y memory.current ====
{{:master_cs:fortificacion:pasted:20250218-150514.png}}
{{:master_cs:fortificacion:pasted:20250218-150537.png}}

==== Pon un 1 en cgroups.freeze ¿Que pasa? ¿Que hay ahora en memory.current? ====
Los programas que abrimos antes quedan congelados. El contenido de memory.current es ahora este:
<WRAP column 100%>
{{:master_cs:fortificacion:pasted:20250218-151059.png}}
</WRAP>
Este valor que podemos observar es la memoria consumida por los procesos de cgroup en bytes. Ahora el valor parece ser superior al que vimos anteriormente. Tras esto descongelamos el proceso poniendo un 0 en groups.freeze

==== Pon los valores 30000 100000 en cpu.max ¿Que pasa? ====
<WRAP column 100%>
{{:master_cs:fortificacion:pasted:20250218-151350.png}}
</WRAP>
Estamos limitando cuanto pueden consumir los procesos del cgroup, en este caso estamos limitando los procesos a un 30%

==== 4. Crea una copia de ls, llámala listar y crea un perfil de apparmor vacío para ella ====
<WRAP column 100%>
{{:master_cs:fortificacion:pasted:20250218-151949.png}}
</WRAP>
<code c>
aa-easyprof /usr/bin/listar #Creamos archivo de configuración plantillaque debemos editar
aa-easyprof /usr/bin/listar > /etc/apparmor.d/usr.bin.listar #Copiamos el archivo generado al apparmor
nano /etc/apparmor.d/usr.bin.listar
</code>
Editamos el archivo añadiendo las reglas de denegación debajo de "# No read paths specified"
<WRAP column 100%>
{{:master_cs:fortificacion:pasted:20250218-153930.png}}
</WRAP>
Tras eso parseamos el archivo modificado para apparmor y habilitamos la política con enforce:
<code>
apparmor_parser -r /etc/apparmor.d/usr.bin.listar
aa-enforce /usr/bin/listar
</code>

=== ¿Que pasa cuando se usa listar para mostrar /etc? ===

Nos sale que no tenemos permisos para ver el directorio
<WRAP column 100%>
{{:master_cs:fortificacion:pasted:20250218-154741.png}}
</WRAP>
=== ¿Que pasa cuando usas -l con otros directorios? ===

Se muestran pero sin nombres de usuario al que pertenecen ni grupos:
<WRAP column 100%>
{{:master_cs:fortificacion:pasted:20250218-154826.png}}
</WRAP>