文件记录4.1. 使用 AppArmor
本节受到一个错误的困扰 (LP #13041346) 和说明将不会像宣传的那样工作。
apparmor-utils 包包含命令行实用程序,可用于更改 AppArmor 执行模式、查找配置文件的状态、创建新配置文件等。
• apparmor_status 用于查看AppArmor 配置文件的当前状态。
须藤apparmor_status
• aa-complain 将配置文件放入 抱怨 模式。
sudo aa-complain /路径/到/bin
• aa-enforce 将配置文件放入 执行 模式。
sudo aa-enforce /path/to/bin
•该 /etc/apparmor.d 目录是 AppArmor 配置文件所在的位置。 它可以用来操纵 模式 所有配置文件。
输入以下内容以将所有配置文件置于投诉模式:
sudo aa-complain /etc/apparmor.d/*
6 https://bugs.launchpad.net/ubuntu/+source/apparmor/+bug/1304134
要将所有配置文件置于强制模式:
sudo aa-enforce /etc/apparmor.d/*
• apparmor_parser 用于将配置文件加载到内核中。 它还可以用于使用以下命令重新加载当前加载的配置文件 -r 选项。 要加载配置文件:
cat /etc/apparmor.d/profile.name | 须藤apparmor_parser -a
要重新加载配置文件:
cat /etc/apparmor.d/profile.name | 须藤apparmor_parser -r
• systemctl 可用于 重载 所有配置文件:
须藤 systemctl 重新加载 apparmor.service
•该 /etc/apparmor.d/禁用 directory 可以与 apparmor_parser -R 选项一起使用 关闭
配置文件。
sudo ln -s /etc/apparmor.d/profile.name /etc/apparmor.d/disable/ sudo apparmor_parser -R /etc/apparmor.d/profile.name
至 重新启用 禁用的配置文件删除指向配置文件的符号链接 /etc/apparmor.d/禁用/. 然后使用 -a 选项。
须藤rm /etc/apparmor.d/disable/profile.name
cat /etc/apparmor.d/profile.name | 须藤apparmor_parser -a
• 可以禁用 AppArmor,并通过输入以下内容卸载内核模块:
须藤 systemctl 停止 apparmor.service 须藤更新-rc.d -f apparmor 删除
• 要重新启用 AppArmor,请输入:
sudo systemctl start apparmor.service sudo update-rc.d apparmor 默认值
更换 配置文件名 使用您要操作的配置文件的名称。 另外,更换 /path/to/bin/ 与实际的可执行文件路径。 例如对于 ping 命令使用 /斌/平