Dokumenty<Poprzedni | Spis treści | Następne>
4.2. Profile
Profile AppArmor to proste pliki tekstowe znajdujące się w /etc/apparmor.d/. Pliki są nazywane po pełnej ścieżce do pliku wykonywalnego, który profilują, zastępując „/” znakiem „.”. Na przykład /etc/apparmor.d/bin.ping to jest profil AppArmor dla /bin/ping dowództwo.
W profilach stosuje się dwa główne typy reguł:
• Wpisy ścieżki: szczegółowo określić, do których plików aplikacja może uzyskać dostęp w systemie plików.
• Wpisy zdolności: określić, jakich przywilejów może używać ograniczony proces. Jako przykład spójrz na /etc/apparmor.d/bin.ping:
#włączać
/bin/ping flagi=(skarga) {
#włączać
#włączać
#włączać
zdolność net_raw, zdolność setuid, sieć inet raw,
/pojemnik/mikser pingów,
/etc/modules.conf r,
}
• #włączać : zawierać oświadczenia z innych plików. Pozwala to na umieszczenie we wspólnym pliku oświadczeń odnoszących się do wielu aplikacji.
• /bin/ping flags=(skarga): ścieżka do sprofilowanego programu, także ustawienie trybu na skarżyć.
• zdolność net_raw,: umożliwia aplikacji dostęp do możliwości CAP_NET_RAW Posix.1e.
• /pojemnik/mikser pingów,: umożliwia aplikacji odczytywanie i wykonywanie dostępu do pliku.
Po edycji pliku profilu profil należy ponownie wczytać. Patrz Sekcja 4.1, „Korzystanie z AppArmor” [s. 194] o szczegóły.