Documentatie4.2. Profielen
AppArmor-profielen zijn eenvoudige tekstbestanden die zich in /etc/apparmor.d/. De bestanden krijgen de naam naar het volledige pad naar het uitvoerbare bestand waarop ze zijn geprofileerd, waarbij de "/" wordt vervangen door ".". Bijvoorbeeld /etc/apparmor.d/bin.ping is het AppArmor-profiel voor de /bin/ping opdracht.
Er zijn twee hoofdtypen regels die in profielen worden gebruikt:
• Padvermeldingen: detail tot welke bestanden een applicatie toegang heeft in het bestandssysteem.
• Mogelijkheden: bepalen welke rechten een beperkt proces mag gebruiken. Kijk bijvoorbeeld eens naar /etc/apparmor.d/bin.ping:
#erbij betrekken
/bin/ping flags=(klagen) {
#erbij betrekken
#erbij betrekken
#erbij betrekken
vermogen net_raw, vermogen setuid, netwerk inet raw,
/bin/ping-mixer,
/etc/modules.conf r,
}
• #erbij betrekken : verklaringen uit andere bestanden opnemen. Hierdoor kunnen opgaven van meerdere aanvragen in een gemeenschappelijk bestand worden geplaatst.
• /bin/ping flags=(klagen): pad naar het geprofileerde programma, waarbij ook de modus wordt ingesteld op klagen.
• vermogen net_raw,: geeft de toepassing toegang tot de CAP_NET_RAW Posix.1e-mogelijkheid.
• /bin/ping mixer,: staat de toepassing toe om toegang tot het bestand te lezen en uit te voeren.
Na het bewerken van een profielbestand moet het profiel opnieuw worden geladen. Zie Paragraaf 4.1, “AppArmor gebruiken” [p. 194] voor details.