תיעוד4.1. שימוש ב-AppArmor
חלק זה נגוע בבאג (LP #13041346) וההוראות לא יפעלו כפי שפורסמו.
חבילת apparmor-utils מכילה כלי עזר של שורת הפקודה שבהם תוכל להשתמש כדי לשנות את מצב הביצוע של AppArmor, למצוא את הסטטוס של פרופיל, ליצור פרופילים חדשים וכו'.
• apparmor_status משמש להצגת המצב הנוכחי של פרופילי AppArmor.
sudo apparmor_status
• aa-complain מציבה פרופיל להתלונן מצב.
sudo aa-complain /path/to/bin
• aa-enforce מציב פרופיל לתוך לאכוף מצב.
sudo aa-enforce /path/to/bin
• /etc/apparmor.d הספרייה היא המקום שבו ממוקמים פרופילי AppArmor. זה יכול לשמש כדי לתפעל את מצב מכל הפרופילים.
הזן את הפרטים הבאים כדי להעביר את כל הפרופילים למצב תלונה:
sudo aa-complain /etc/apparmor.d/*
6 https://bugs.launchpad.net/ubuntu/+source/apparmor/+bug/1304134
כדי להציב את כל הפרופילים במצב אכיפה:
sudo aa-enforce /etc/apparmor.d/*
• apparmor_parser משמש לטעינת פרופיל לתוך הקרנל. ניתן להשתמש בו גם כדי לטעון מחדש פרופיל שנטען כעת באמצעות -r אוֹפְּצִיָה. כדי לטעון פרופיל:
cat /etc/apparmor.d/profile.name | sudo apparmor_parser -a
כדי לטעון מחדש פרופיל:
cat /etc/apparmor.d/profile.name | sudo apparmor_parser -r
• מערכת ניתן להשתמש בו כדי לטעון מחדש כל הפרופילים:
sudo systemctl טען מחדש את apparmor.service
• /etc/apparmor.d/disable ניתן להשתמש בספרייה יחד עם האפשרות apparmor_parser -R ל להשבית
פרופיל.
sudo ln -s /etc/apparmor.d/profile.name /etc/apparmor.d/disable/ sudo apparmor_parser -R /etc/apparmor.d/profile.name
ל להפעיל מחדש פרופיל מושבת הסר את הקישור הסמלי לפרופיל ב /etc/apparmor.d/disable/. לאחר מכן טען את הפרופיל באמצעות -a אוֹפְּצִיָה.
sudo rm /etc/apparmor.d/disable/profile.name
cat /etc/apparmor.d/profile.name | sudo apparmor_parser -a
• ניתן להשבית את AppArmor ולפרוק את מודול הליבה על ידי הזנת הפרטים הבאים:
sudo systemctl stop apparmor.service sudo update-rc.d -f apparmor הסר
• כדי להפעיל מחדש את AppArmor הזן:
sudo systemctl start apparmor.service ברירת המחדל של sudo update-rc.d apparmor
חלף שם פרופיל עם שם הפרופיל שברצונך לבצע מניפולציות. כמו כן, להחליף /path/to/ bin/ עם נתיב קובץ ההפעלה בפועל. למשל לשימוש בפקודת ping /bin/ping