<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs exclusivos**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
**AppArmor** é um aprimoramento do kernel para confinar **programas** a um conjunto **limitado** de **recursos** com **perfis por programa**. Os perfis podem **permitir****capacidades** como acesso à rede, acesso a socket raw e a permissão para ler, escrever ou executar arquivos em caminhos correspondentes.
* **Enforcement**: Perfis carregados no modo de enforcement resultarão na **execução da política** definida no perfil **assim como no relatório** de tentativas de violação da política (seja via syslog ou auditd).
* **Complain**: Perfis no modo complain **não executarão a política**, mas em vez disso **relatarão** tentativas de **violação** da política.
O AppArmor difere de alguns outros sistemas MAC no Linux: é **baseado em caminhos**, permite a mistura de perfis nos modos de enforcement e complain, usa arquivos de inclusão para facilitar o desenvolvimento e tem uma barreira de entrada muito menor do que outros sistemas MAC populares.
Os perfis do apparmor são geralmente salvos em _**/etc/apparmor.d/**_\
Com `sudo aa-status` você poderá listar os binários que estão restritos por algum perfil. Se você puder mudar o caractere "/" por um ponto no caminho de cada binário listado, você obterá o nome do perfil do apparmor dentro da pasta mencionada.
* **Variáveis** podem ser definidas nos perfis e podem ser manipuladas de fora do perfil. Por exemplo: @{PROC} e @{HOME} (adicionar #include \<tunables/global> ao arquivo de perfil)
Para começar a criar um perfil facilmente, o apparmor pode ajudá-lo. É possível fazer com que o **apparmor inspecione as ações realizadas por um binário e depois permita que você decida quais ações deseja permitir ou negar**.\
Então, no primeiro console pressione "**s**" e depois nas ações gravadas indique se deseja ignorar, permitir ou o que for. Quando terminar, pressione "**f**" e o novo perfil será criado em _/etc/apparmor.d/caminho.para.binario_
Observe que, por padrão em um perfil criado, nada é permitido, portanto, tudo é negado. Você precisará adicionar linhas como `/etc/passwd r,` para permitir que o binário leia `/etc/passwd`, por exemplo.
Por padrão, o **perfil Apparmor docker-default** é gerado a partir de [https://github.com/moby/moby/tree/master/profiles/apparmor](https://github.com/moby/moby/tree/master/profiles/apparmor)
* **Nenhuma capacidade** é definida (No entanto, algumas capacidades virão da inclusão de regras básicas de base, ou seja, #include \<abstractions/base>)
Observe que o **apparmor bloqueará até mesmo os privilégios de capacidades** concedidos ao container por padrão. Por exemplo, ele será capaz de **bloquear a permissão de escrever dentro do /proc mesmo se a capacidade SYS\_ADMIN for concedida** porque por padrão o perfil apparmor do docker nega este acesso:
Note que você pode **adicionar/remover****capacidades** ao container do docker (isso ainda será restrito por métodos de proteção como **AppArmor** e **Seccomp**):
Geralmente, quando você **descobre** que tem uma **capacidade privilegiada** disponível **dentro** de um container **docker****mas** alguma parte do **exploit não está funcionando**, isso ocorrerá porque o **apparmor do docker estará impedindo**.
**O AppArmor é baseado em caminho**, isso significa que mesmo que ele possa estar **protegendo** arquivos dentro de um diretório como **`/proc`**, se você puder **configurar como o contêiner será executado**, você poderia **montar** o diretório proc do host dentro de **`/host/proc`** e ele **não será mais protegido pelo AppArmor**.
Neste [**bug**](https://bugs.launchpad.net/apparmor/+bug/1911431), você pode ver um exemplo de como **mesmo impedindo que o perl seja executado com certos recursos**, se você apenas criar um script shell **especificando** na primeira linha **`#!/usr/bin/perl`** e **executar o arquivo diretamente**, você poderá executar o que quiser. Exemplo:
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).