aa-clickhook - 云端在线

程序：

您的姓名

aa-clickhook - 单击 AppArmor 的系统挂钩

商品描述

安装 click 包后，click 将运行系统和用户挂钩。 点击
AppArmor 系统钩子将点击包中的安全清单转换为 AppArmor
profile，然后将配置文件加载到内核中。 在 Ubuntu 上，单击 AppArmor 挂钩映射
单击框架到适当的策略版本，以确保正确的 AppArmor 策略
产生。

默认情况下，指向点击安全清单的符号链接存储在
/var/lib/apparmor/clicks. 生成的 AppArmor 配置文件存储在
/var/lib/apparmor/配置文件 将相应的配置文件缓存存储在
/var/cache/apparmor/apparmor。

当 aa-clickhook 在没有参数的情况下运行时，它将生成缺少的 AppArmor 配置文件
安全体现。 此外，aa-clickhook 将检查符号链接的 mtime
安全清单并重新生成 mtime 早于
相应的安全清单。

用法

aa-clickhook [选项]

配置

-h 显示程序的帮助

-f | - 力量 | --强制再生
强制重新生成所有点击配置文件

- 包括=路径
将 '#include "PATH"' 添加到生成的配置文件中

覆盖 AND 附加 交通资讯

click-apparmor 支持覆盖单击安全清单中指定的策略。
覆盖是可选的，并且在与单击安全性相同的目录中指定
清单，但附加了“.override”。 它们使用相同的 json 格式和结构
他们相应的点击安全清单，但只使用与
AppArmor 政策。 可以为抽象、policy_groups、read_path 和
写路径。 覆盖仅从策略中减去，不能用于提供额外的
访问。

同样，click-apparmor 支持添加对 click 中指定的策略的访问
安全清单。 此附加访问在与单击相同的目录中指定
安全清单，但附加了“.additional”。 这使用相同的 json 格式和
结构作为其相应的点击安全清单，但仅使用清单键
与 AppArmor 政策相关。 可以为抽象指定额外的访问权限，
policy_groups、read_path 和 write_path。 以这种方式指定额外的访问必须
小心操作，因为额外的通道可以让您逃脱禁闭。

创建或更新覆盖或附加访问权限后，您必须运行 aa-clickhook 以
使更改生效。 要取消应用覆盖或附加访问，请删除文件，
更新安全清单上的时间戳（见下文），然后运行 ​​aa-clickhook。

附注

如果框架缺失，aa-clickhook 将跳过生成 AppArmor 策略，如果
指定的策略版本与框架的预期版本不匹配，或
否则格式不正确的点击包。

重新安装相同版本的点击时，重新生成
AppArmor 配置文件如下：

# touch -h /var/lib/apparmor/clicks/ .json
# aa-clickhook

或者如果需要使用包含文件重新生成（例如，用于自动驾驶仪）：

# touch -h /var/lib/apparmor/clicks/ .json
# aa-clickhook \
--include=/usr/share/autopilot-touch/apparmor/click.rules

使用 onworks.net 服务在线使用 aa-clickhook