ドキュメント4.2. プロフィール
AppArmor プロファイルは、次の場所にある単純なテキスト ファイルです。 /etc/apparmor.d/。 ファイルの名前は、プロファイリングする実行可能ファイルへのフルパスの「/」を「.」に置き換えたものになります。 例えば /etc/apparmor.d/bin.ping の AppArmor プロファイルです。 /bin/ping
プロファイルで使用されるルールには主に XNUMX つのタイプがあります。
• パスエントリ: アプリケーションがファイル システム内でアクセスできるファイルの詳細。
• 機能エントリ: 制限されたプロセスが使用できる権限を決定します。 例として、以下を見てみましょう /etc/apparmor.d/bin.ping:
#含む
/bin/ping flags=(苦情) {
#含む
#含む
#含む
能力 net_raw、能力 setuid、ネットワーク inet raw、
/bin/ping ミキサー、
/etc/modules.conf r、
}
• #含む: 他のファイルのステートメントを含めます。 これにより、複数のアプリケーションに関連するステートメントを共通のファイルに配置できるようになります。
• /bin/ping フラグ=(苦情): プロファイルされたプログラムへのパス。モードも次のように設定します。 文句を言う.
• 能力 net_raw、: アプリケーションが CAP_NET_RAW Posix.1e 機能にアクセスできるようにします。
• /bin/ping ミキサー、: アプリケーションにファイルへの読み取りおよび実行アクセスを許可します。
プロファイル ファイルを編集した後、プロファイルを再ロードする必要があります。 セクション 4.1「AppArmor の使用」 [p.194] を参照してください。 詳細は「XNUMX」を参照してください。