Установка дополнительных профилей и утилит для управления:
sudo apt install apparmor-utils apparmor-profiles
Текущий статус профилей:
sudo apparmor_status
Профили могут быть запущены в режиме "complain mode" или "enforce mode". В режиме enforce mode, который для профилей, поставляемых в составе Ubuntu, устанавливается по умолчанию, AppArmor ограничивает действия приложений. В режиме complain mode AppArmor позволяет приложениям выполнять действия, которые следовало бы ограничить, и создает в журнале запись с сообщением по этому поводу. Режим complain mode идеально подходит для тестирования профиля AppArmor перед тем, как профиль будет использоваться в режиме enforce mode - вы обнаружите любую ошибку, которая может возникнуть в режиме enforce mode.
Перевести профиль в complain режим:
sudo aa-complain /path/to/bin
Если нужно все профили: sudo aa-complain /etc/apparmor.d/*
Перевести профиль в enforce режим:
sudo aa-enforce /path/to/bin
Если нужно все профили: sudo aa-enforce /etc/apparmor.d/*
Загрузить профиль в ядро:
cat /etc/apparmor.d/profile.name | sudo apparmor_parser -a
Перезагрузить профиль:
cat /etc/apparmor.d/profile.name | sudo apparmor_parser -r
sudo apt install apparmor-utils apparmor-profiles
Текущий статус профилей:
sudo apparmor_status
Профили могут быть запущены в режиме "complain mode" или "enforce mode". В режиме enforce mode, который для профилей, поставляемых в составе Ubuntu, устанавливается по умолчанию, AppArmor ограничивает действия приложений. В режиме complain mode AppArmor позволяет приложениям выполнять действия, которые следовало бы ограничить, и создает в журнале запись с сообщением по этому поводу. Режим complain mode идеально подходит для тестирования профиля AppArmor перед тем, как профиль будет использоваться в режиме enforce mode - вы обнаружите любую ошибку, которая может возникнуть в режиме enforce mode.
Перевести профиль в complain режим:
sudo aa-complain /path/to/bin
Если нужно все профили: sudo aa-complain /etc/apparmor.d/*
Перевести профиль в enforce режим:
sudo aa-enforce /path/to/bin
Если нужно все профили: sudo aa-enforce /etc/apparmor.d/*
Загрузить профиль в ядро:
cat /etc/apparmor.d/profile.name | sudo apparmor_parser -a
Перезагрузить профиль:
cat /etc/apparmor.d/profile.name | sudo apparmor_parser -r
Перезагрузить все профили:
sudo systemctl reload apparmor.service
Папка /etc/apparmor.d/disable может использоваться наравне с командой apparmor_parser -R для отключения профиля.
sudo ln -s /etc/apparmor.d/profile.name /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/profile.name
Чтобы снова включить профиль надо удалить символическую ссылку и загрузить профиль в ядро:
sudo rm /etc/apparmor.d/disable/profile.name
cat /etc/apparmor.d/profile.name | sudo apparmor_parser -a
Отключение AppArmor:
sudo systemctl stop apparmor.service
sudo update-rc.d -f apparmor remove
Включение AppArmor:
sudo systemctl start apparmor.service
sudo update-rc.d apparmor defaults
sudo systemctl reload apparmor.service
Папка /etc/apparmor.d/disable может использоваться наравне с командой apparmor_parser -R для отключения профиля.
sudo ln -s /etc/apparmor.d/profile.name /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/profile.name
Чтобы снова включить профиль надо удалить символическую ссылку и загрузить профиль в ядро:
sudo rm /etc/apparmor.d/disable/profile.name
cat /etc/apparmor.d/profile.name | sudo apparmor_parser -a
Отключение AppArmor:
sudo systemctl stop apparmor.service
sudo update-rc.d -f apparmor remove
Включение AppArmor:
sudo systemctl start apparmor.service
sudo update-rc.d apparmor defaults
Ссылки:
- https://help.ubuntu.com/lts/serverguide/apparmor.html
- http://wiki.apparmor.net/index.php/AppArmor_Failures
- Что такое AppArmor и как с его помощью защитить вашу систему Ubuntu
- Ограничиваем доступ Skype к вашим данным в Ubuntu Linux
- Конфигурирование AppArmor
- no apparmor profile for chromium
- Настройка Apparmor в Ubuntu 16.04
- AppArmorProfiles
- How to test that Apparmor is working?
- Отключить работу AppArmor полностью в системе
- Run Applications in Secure Sandboxes with SELinux