1. O que é AppArmor?

AppArmor é um sistema de controle de acesso obrigatório (MAC, Mandatory Access Control), similar ao SELinux. Possiveis motivos para optar pelo AppArmor ao invés do SELinux? AppArmor foi projetado para ser mais simples de usar e configurar em comparação com alguns outros sistemas MAC, como SELinux.
- O AppArmor é muitas vezes considerado mais fácil de configurar e usar em comparação com o SELinux. Ele utiliza perfis de aplicativos que são mais simples de compreender e implementar. - AppArmor adota um modelo de perfil mais simplificado em comparação com o SELinux. Os perfis do AppArmor são geralmente mais fáceis de criar e entender, o que pode ser uma vantagem para administradores menos familiarizados com controles de acesso obrigatório. - É uma integração padrão em algumas distribuições, como: Ubuntu.

Como o AppArmor funciona?

• Segurança Baseada em Perfil: O AppArmor funciona com base em perfis. Cada aplicativo ou processo em execução no sistema tem um perfil associado que define os recursos e permissões que ele pode acessar. Os perfis são tipicamente definidos em arquivos de texto legíveis por humanos e especificam regras que restringem as ações de um programa. Essas regras definem quais arquivos, diretórios e capacidades o programa tem permissão para acessar.

• Aplicação Baseada em Caminho: O AppArmor usa principalmente a aplicação baseada em caminho. Isso significa que ele se concentra em controlar o acesso a arquivos e diretórios específicos em vez de chamadas de sistema gerais. Quando um programa tenta acessar um arquivo, o AppArmor verifica se o acesso é permitido de acordo com as regras definidas no perfil associado a esse programa.

• Integração com Serviços do Sistema: O AppArmor se integra a serviços e aplicativos do sistema. Por exemplo, no caso do Debian, é frequentemente usado para confinar serviços como servidores web, bancos de dados ou outros processos críticos. Os perfis são carregados no kernel durante a inicialização do sistema e são aplicados assim que os processos associados são iniciados.

• Aplicação em Tempo de Execução: O AppArmor fornece aplicação em tempo de execução, o que significa que as políticas de segurança são aplicadas enquanto o sistema está em execução. Isso ajuda a evitar o acesso não autorizado a recursos sensíveis durante a operação do sistema.

• Flexibilidade e Configurabilidade: O AppArmor permite controle granular sobre o comportamento do aplicativo. Você pode especificar quais arquivos ou diretórios um aplicativo pode ler, gravar ou executar. Essa granularidade ajuda a adaptar as políticas de segurança a casos de uso específicos. Os perfis podem ser personalizados para atender aos requisitos de segurança de aplicativos individuais.

• Auditoria e Logs: O AppArmor fornece recursos de auditoria que registram eventos relacionados à segurança. Isso pode ser útil para monitorar e analisar o comportamento de aplicativos confinados. Os logs ajudam os administradores a identificar e solucionar problemas de segurança, fornecendo informações sobre quais recursos um aplicativo tentou acessar e se esses acessos foram permitidos ou negados.

• Facilidade de Uso: O AppArmor é projetado para ser fácil de usar. Ele fornece uma camada adicional de segurança sem exigir uma configuração manual extensiva. O uso de perfis simplifica o processo de proteção de aplicativos.

Ao confinar aplicativos a perfis de segurança bem definidos, o AppArmor aprimora a segurança geral do sistema, minimizando o impacto potencial de vulnerabilidades de segurança em aplicativos individuais. É uma ferramenta eficaz para melhorar a postura de segurança de sistemas Linux.

⚠️ Comando utilizado para que possamos verificar se o serviço esta ativo: systemctl status apparmor

AppArmor (Application Armor) é um sistema de controle de acesso obrigatório (MAC - Mandatory Access Control) para sistemas Linux. Ao contrário do controle de acesso discricionário (DAC - Discretionary Access Control), onde os usuários têm controle sobre seus próprios objetos e arquivos, o MAC é um modelo de segurança mais restritivo e centralizado.

No contexto do Linux, que tradicionalmente utiliza o DAC, AppArmor adiciona uma camada adicional de controle de acesso baseada em perfis de aplicativos.

Usuários e grupos são usados no GNU/Linux para controle de acesso — isto é, para controlar o acesso aos arquivos, diretórios e periféricos do sistema.

Em resumo, AppArmor não está diretamente vinculado aos conceitos tradicionais de usuários e grupos no Linux, como acontece com o controle de acesso discricionário.

• DAC é mais tradicional e baseado em permissões associadas aos usuários e grupos. Ele permite que os usuários determinem quem pode acessar seus próprios arquivos e recursos.

• root é o superusuário

• Usuários não privilegiados podem utilizar o su ou sudo para escalar privilégios controlados.

E o que é hostname: É o nome único atribuído a um computador ou sistema na rede. No caso, o hostname é meuuser42

E username: é o nome associado a uma conta de usuário, e o username pode ser qualquer um, escolhi meuuser.

• Comando para adicionar novo usuário: adduser -m -s /bin/bash *nomedousuário*
• Como verificar quais usuários existem: whoami
• Como remover um usuário: userdel *nomedousuario*
  • sudo userdel -r *nomedousuario para que seja apagado o diretório home e o conteúdo associado.*
• Comando para definir uma senha para o novousuário passwd nomedousuario

2. O que é UFW?

• Uncomplicated Firewall: é uma ferramenta de firewall para sistemas operacionais baseados em Linux. Ele foi projetado para simplificar o processo de configuração e gerenciamento de firewalls, tornando-o mais acessível para usuários iniciantes.

• Por baixo dos panos, o UFW utiliza o iptables, que é uma infraestrutura mais complexa e poderosa para configurar firewalls no Linux. O UFW, portanto, age como uma camada mais amigável e simplificada sobre o iptables.

  • O iptables é uma ferramenta de linha de comando usada para configurar as regras do firewall no sistema operacional Linux. Ele é parte integrante do conjunto de ferramentas do Netfilter, que é a estrutura de filtragem de pacotes no kernel do Linux. O iptables permite que os administradores de sistema configurem regras que determinam como o tráfego de rede deve ser tratado, como permitir ou bloquear determinadas conexões.

• Para verificar que esta ativo: sudo ufw status

• Para verificar a numeração da porta: sudo ufw status numbered

• Para abrir uma porta: sudo ufw allow *numero-da-porta*

• Para deletar uma porta: sudo ufw delete *numero-da-porta*

3. O que é SSH?

O Secure Shell (SSH) é um protocolo de rede criptografado usado para comunicação segura entre um cliente e um servidor. Ele fornece uma maneira segura de acessar serviços de rede sobre uma rede não segura, como a Internet. O SSH oferece autenticação forte, comunicação criptografada e integridade de dados para garantir a segurança das informações transmitidas entre os sistemas.

Ex de utilização:

• Encaminhamento de Porta:

  • SSH pode ser usado para criar túneis seguros, encaminhando tráfego de uma porta local para uma porta remota. Isso é útil para acessar serviços em máquinas remotas de forma segura.
  • Um serviço SSH estará em execução apenas na porta 4242. Por razões de segurança, não deve ser possível conectar-se usando SSH como root.
    • Restringir o acesso SSH a contas não privilegiadas adiciona uma camada extra de segurança contra esses ataques.
    • Quando os usuários se conectam inicialmente com uma conta não privilegiada, é mais fácil rastrear e registrar as atividades associadas a essa conta. Conectar-se como root diretamente pode complicar o rastreamento, especialmente em ambientes com vários administradores.
    • Acesso Granular: A autenticação em duas etapas, como primeiro fazer login como usuário não privilegiado e, em seguida, usar sudo para realizar tarefas administrativas, permite um controle mais granular sobre quem pode realizar ações administrativas. Isso é útil em ambientes compartilhados ou com várias pessoas gerenciando o sistema.

• Como acessar a VM pelo SSH: ssh nome-do-user@ip-da-maquina -p numero-da-porta

• Para acessar o ip da máquina podemos utilizar: hostname -I (i maiúsculo)

• Verificar o status do serviço SSH: sudo systemctl status ssh

• Para configurar a chave ssh é necessario editar o arquivo ssh que fica localizado: etc/ssh/sshd_confi

• Instalar a biblioteca libpam-pwquality para configurar senha: sudo apt-get install libpam-pwquality
• Como alterar a politica de senha: sudo nano /etc/pam.d/common-password
• Outra forma: etc/security/pwquality.conf
• Alteração: password requisite pam_pwquality.so retry=3 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1 maxrepeat=3 reject_username difok=7 enforce_for_root
  1. password:
     • Este é o tipo de controle PAM que está sendo configurado, especificamente para tratamento de senhas.
  2. requisite:
     • Indica que esta etapa é crucial para a autenticação ter sucesso. Se a verificação da senha falhar nesta etapa, a autenticação falhará.
  3. pam_pwquality.so:
     • Especifica o uso do módulo pam_pwquality.so, que fornece funcionalidades para impor políticas de qualidade de senha.
  4. retry=3:
     • Permite até 3 tentativas de entrada de senha antes de retornar uma falha na autenticação. Se o usuário errar a senha três vezes, o processo de autenticação falhará.
  5. minlen=10:
     • Define um comprimento mínimo de senha de 10 caracteres. Ou seja, as senhas precisam ter pelo menos 10 caracteres de comprimento para atender a essa política.
  6. ucredit=-1 lcredit=-1 dcredit=-1:
     • Estabelece políticas de complexidade de senha:
       • ucredit: Pelo menos uma letra maiúscula (1 significa que é permitido pelo menos uma).
       • lcredit: Pelo menos uma letra minúscula.
       • dcredit: Pelo menos um dígito.
  7. maxrepeat=3:
     • Restringe a repetição de caracteres consecutivos na senha a 3. Isso ajuda a evitar sequências óbvias, como "12345" ou "abcdef".
  8. reject_username:
     • Não permite que o nome do usuário seja parte da senha. Isso é uma medida de segurança para evitar senhas previsíveis.
  9. difok=7:
     • Define o número mínimo de caracteres diferentes entre a nova senha e a senha antiga (caso o usuário esteja alterando a senha). Neste caso, são necessários pelo menos 7 caracteres diferentes.
  10. enforce_for_root:
      • Aplica essas políticas mesmo para o usuário root. Isso é útil para garantir que até mesmo o superusuário esteja sujeito a políticas de senha rigorosas.