<Précédent | Table des matières | Suivant>
4.2. Profils
Les profils AppArmor sont de simples fichiers texte situés dans /etc/apparmor.d/. Les fichiers sont nommés d'après le chemin complet de l'exécutable qu'ils profilent en remplaçant le "/" par ".". Par exemple /etc/apparmor.d/bin.ping est le profil AppArmor pour le /bin/ping commander.
Il existe deux principaux types de règles utilisées dans les profils :
• Entrées de chemin : détaille les fichiers auxquels une application peut accéder dans le système de fichiers.
• Entrées de capacité : déterminer quels privilèges un processus confiné est autorisé à utiliser. A titre d'exemple, jetez un œil à /etc/apparmor.d/bin.ping:
#comprendre
/bin/ping flags=(se plaindre) {
#comprendre
#comprendre
#comprendre
capacité net_raw, capacité setuid, réseau inet raw,
/bin/ping mixeur,
/etc/modules.confr,
}
• #comprendre : inclure des instructions d'autres fichiers. Cela permet aux déclarations relatives à plusieurs applications d'être placées dans un fichier commun.
• /bin/ping flags=(se plaindre) : chemin vers le programme profilé, en définissant également le mode sur se plaindre.
• capacité net_raw, : permet à l'application d'accéder à la capacité CAP_NET_RAW Posix.1e.
• /bin/ping mixr, : autorise l'application en lecture et en exécution à accéder au fichier.
Après avoir modifié un fichier de profil, le profil doit être rechargé. Voir Section 4.1, « Utilisation d'AppArmor » [p. 194] pour plus de détails.