Dokumentation4.1. Verwenden von AppArmor
Dieser Abschnitt wird von einem Fehler geplagt (LP #13041346) und Anweisungen funktionieren nicht wie angekündigt.
Das Paket apparmor-utils enthält Befehlszeilen-Dienstprogramme, mit denen Sie den AppArmor-Ausführungsmodus ändern, den Status eines Profils ermitteln, neue Profile erstellen usw.
• apparmor_status wird verwendet, um den aktuellen Status von AppArmor-Profilen anzuzeigen.
sudo apparmor_status
• aa-complain platziert ein Profil in beschweren Modus arbeiten können.
sudo aa-beschweren /Pfad/zu/bin
• aa-enforce platziert ein Profil in erzwingen Modus arbeiten können.
sudo aa-erzwingen /Pfad/zu/bin
• Das /etc/apparmor.d Verzeichnis ist der Ort, an dem sich die AppArmor-Profile befinden. Es kann verwendet werden, um die Modus aller Profile.
Geben Sie Folgendes ein, um alle Profile in den Beschwerdemodus zu versetzen:
sudo aa-beschweren /etc/apparmor.d/*
6 https://bugs.launchpad.net/ubuntu/+source/apparmor/+bug/1304134
So versetzen Sie alle Profile in den Erzwingungsmodus:
sudo aa-enforce /etc/apparmor.d/*
• apparmor_parser wird verwendet, um ein Profil in den Kernel zu laden. Es kann auch verwendet werden, um ein aktuell geladenes Profil erneut zu laden, indem Sie das -r Möglichkeit. So laden Sie ein Profil:
Katze /etc/apparmor.d/profile.name | sudo apparmor_parser -a
So laden Sie ein Profil neu:
Katze /etc/apparmor.d/profile.name | sudo apparmor_parser -r
• systemctl kann benutzt werden um neu laden Alle Profile:
sudo systemctl apparmor.service neu laden
• Das /etc/apparmor.d/disable Verzeichnis kann zusammen mit der Option apparmor_parser -R verwendet werden, um deaktivieren
Ein Profil.
sudo ln -s /etc/apparmor.d/profile.name /etc/apparmor.d/disable/ sudo apparmor_parser -R /etc/apparmor.d/profile.name
Zu wieder aktivieren ein deaktiviertes Profil entfernen Sie den symbolischen Link zum Profil in /etc/apparmor.d/disable/. Laden Sie dann das Profil mit der -a .
sudo rm /etc/apparmor.d/disable/profile.name
Katze /etc/apparmor.d/profile.name | sudo apparmor_parser -a
• AppArmor kann deaktiviert und das Kernelmodul entladen werden, indem Sie Folgendes eingeben:
sudo systemctl stop apparmor.service sudo update-rc.d -f apparmor entfernen
• Um AppArmor wieder zu aktivieren, geben Sie Folgendes ein:
sudo systemctl start apparmor.service sudo update-rc.d apparmor defaults
Ersetzen Profilname mit dem Namen des Profils, das Sie bearbeiten möchten. Ersetzen Sie auch /Pfad/zu/ bin/ mit dem tatsächlichen Pfad der ausführbaren Datei. Zum Beispiel für den Ping-Befehl verwenden /bin/ping