文件记录4.2. 简介
AppArmor 配置文件是位于 /etc/apparmor.d/. 这些文件以它们分析的可执行文件的完整路径命名,将“/”替换为“.”。 例如 /etc/apparmor.d/bin.ping 是 AppArmor 配置文件 /斌/平 命令。
配置文件中使用了两种主要类型的规则:
• 路径条目: 详细说明应用程序可以访问文件系统中的哪些文件。
• 能力条目: 确定允许受限进程使用哪些特权。 举个例子,看看 /etc/apparmor.d/bin.ping:
#包括
/bin/ping 标志=(抱怨){
#包括
#包括
#包括
能力 net_raw,能力 setuid,网络 inet raw,
/bin/ping 混合器,
/etc/modules.conf r,
}
• #包括: 包括来自其他文件的语句。 这允许将与多个应用程序有关的语句放在一个公共文件中。
• /bin/ping 标志=(抱怨): 分析程序的路径,还将模式设置为 抱怨.
• 能力 net_raw,: 允许应用程序访问 CAP_NET_RAW Posix.1e 功能。
• /bin/ping 混合器,: 允许应用程序对文件进行读取和执行访问。
编辑配置文件后,必须重新加载配置文件。 请参见第 4.1 节 “使用 AppArmor” [p. 194] 了解详情。