本文内容参考:
AppArmor · GitBook,
Linux安全模块AppArmor总结-CSDN博客,
AppArmor快速入门-CSDN博客,
apparmor 初识(一)_domybest_nsg的博客-CSDN博客,
AppArmor与SElinux_apparmor selinux_weixin_45216475的博客-CSDN博客,
apparmor_什么是AppArmor?如何确保Ubuntu安全?_culingluan4376的博客-CSDN博客,
apparmor首页、文档和下载 - 应用程序访问控制系统 - OSCHINA - 中文开源技术交流社区,
在使用Apparmor时,报错apparmor filesystem is not mounted | 算法网,
学习LSM(Linux security module)之三:Apparmor的前世今生和基本使用_wx5b7658e51ef04的技术博客_51CTO博客
前边用了几篇文章的篇幅详细介绍了AppArmor的源码构建与安装。这一过程中安装了不少组件,相当于在Ubuntu下通过sudo apt-get install apparmor apparmor-profiles apparmor-docs apparmor-utils命令安装了各个组件。实际上还有一些组件尚未安装,不过暂且放一放,换一下脑子,从本篇文章开始,介绍AppArmor的实际使用即实际操作。
要查看AppArmor的状态,在终端中运行以下命令:
sudo apparmor_status
实际命令及结果如下:
$ sudo apparmor_status
apparmor module is loaded.
apparmor filesystem is not mounted.
通过以下命令查看AppArmor的运行状态:
$ cat /sys/module/apparmor/parameters/enabled
N
Y:表示正在运行;
N:表示没有运行。
这里是N,说明AppArmor没有运行。
综合两种状态,说明AppArmor相关组件已经在系统中了,但是AppArmor却没有正常使能以及工作。如何解决?
(1)修改/etc/default/grub(笔者修改的是/boot/grub/grub.cfg)文件,设置GRUB_CMDLINE_LINUX_DEFAULT 为”apparmor=1 security=apparmor”(笔者是将linux /system/kernel/bzImage chosen=$chosen UUID=$currentUuid security="selinux"改为linux /system/kernel/bzImage chosen=$chosen UUID=$currentUuid),保存退出。
(2)重启。
重启之后再次查看AppArmor的状态。命令及结果如下所示:
$ apparmor_status
apparmor module is loaded.
You do not have enough privilege to read the profile set.
加上sudo后的结果:
$ sudo apparmor_status
apparmor module is loaded.
再次查看AppArmor的运行状态。命令及结果如下所示:
$ cat /sys/module/apparmor/parameters/enabled
Y
可以看到,这次由之前的N变为Y了,说明AppArmor正在运行。
使用aa-status
可以查看当前
AppArmor
的运行状态和具有配置文件的应用程序。命令及结果如下所示:
$ aa-status
apparmor module is loaded.
You do not have enough privilege to read the profile set.
$ sudo aa-status
apparmor module is loaded.
可以看出,aa-status和apparmor_status是一回事。
$ which aa-status
/usr/sbin/aa-status
$ which apparmor_status
/usr/sbin/apparmor_status
$ ls -l /usr/sbin/aa-status
-rwxr-xr-x 1 root root 205144 4月17日 14:25 /usr/sbin/aa-status
$ ls -l /usr/sbin/apparmor_status
lrwxrwxrwx 1 root root 9 4月17日 14:25 /usr/sbin/apparmor_status -> aa-status
通过aa-status命令也可以看出,当前系统中还没有具有配置文件的应用程序。
那么如何添加访问控制规则即使系统中存在具有配置文件的应用程序?请看下回。