Dokumentation4.2. Profile
AppArmor-Profile sind einfache Textdateien, die sich in befinden /etc/apparmor.d/. Die Dateien werden nach dem vollständigen Pfad zur ausführbaren Datei benannt, die sie profilieren, wobei „/“ durch „.“ ersetzt wird. Zum Beispiel /etc/apparmor.d/bin.ping ist das AppArmor-Profil für /bin/ping Befehl.
Es gibt zwei Haupttypen von Regeln, die in Profilen verwendet werden:
• Pfadeinträge: Geben Sie detailliert an, auf welche Dateien eine Anwendung im Dateisystem zugreifen kann.
• Fähigkeitseinträge: Bestimmen Sie, welche Privilegien ein eingeschränkter Prozess verwenden darf. Schauen Sie sich als Beispiel an /etc/apparmor.d/bin.ping:
#enthalten
/bin/ping flags=(beschweren) {
#enthalten
#enthalten
#enthalten
Fähigkeit net_raw, Fähigkeit setuid, Netzwerk inet raw,
/bin/ping mixr,
/etc/modules.conf r,
}
• #enthalten : Anweisungen aus anderen Dateien einschließen. Dadurch können Anweisungen, die sich auf mehrere Anwendungen beziehen, in einer gemeinsamen Datei abgelegt werden.
• /bin/ping flags=(beschweren): Pfad zum profilierten Programm und Einstellung des Modus auf beschweren.
• Fähigkeit net_raw,: Ermöglicht der Anwendung Zugriff auf die CAP_NET_RAW Posix.1e-Funktion.
• /bin/ping mixr,: Ermöglicht der Anwendung Lese- und Ausführungszugriff auf die Datei.
Nach dem Bearbeiten einer Profildatei muss das Profil neu geladen werden. Siehe Abschnitt 4.1, „Verwenden von AppArmor“ [S. 194] für Einzelheiten.