<Anterior | Contenido | Siguiente>
4.2. Perfiles
Los perfiles de AppArmor son archivos de texto simples ubicados en /etc/apparmor.d/. Los archivos reciben el nombre de la ruta completa al ejecutable que perfilan reemplazando "/" por ".". Por ejemplo /etc/apparmor.d/bin.ping es el perfil de AppArmor para / bin / ping mando.
Hay dos tipos principales de reglas que se utilizan en los perfiles:
• Entradas de ruta: detallar a qué archivos puede acceder una aplicación en el sistema de archivos.
• Entradas de capacidad: determinar qué privilegios puede utilizar un proceso confinado. Como ejemplo, eche un vistazo a /etc/apparmor.d/bin.ping:
#incluir
/ bin / ping flags = (quejarse) {
#incluir
#incluir
#incluir
capacidad net_raw, capacidad setuid, red inet raw,
/ bin / ping mixr,
/etc/modules.conf r,
}
• #incluir : incluir declaraciones de otros archivos. Esto permite que las declaraciones pertenecientes a múltiples aplicaciones se coloquen en un archivo común.
• / bin / ping flags = (quejarse): ruta al programa perfilado, también configurando el modo en quejarse.
• capacidad net_raw ,: permite que la aplicación acceda a la capacidad CAP_NET_RAW Posix.1e.
• / bin / ping mixr ,: permite que la aplicación lea y ejecute el acceso al archivo.
Después de editar un archivo de perfil, el perfil debe volver a cargarse. Consulte la Sección 4.1, “Uso de AppArmor” [p. 194] para más detalles.