apt install apparmor # <-- 最近のディストリビューションでは、デフォルトで入ってる模様 apt install apparmor-utils # <-- aa-* コマンド系のユーティリティ
次のコマンド実行により、/etc/apparmor.d 配下に指定プログラムに対応するプロファイルが生成される。
aa-autodep <プログラム>
次のコマンド実行により、対象プログラムの許可されていない操作に対してログ (syslog) が出力されるようになる。 ※操作自体は実施される。
aa-complain <プログラム>
aa-logprof
次のコマンド実行により、対象プログラムの許可されていない操作を実行できないようにする。
aa-enforce <プログラム>
※不平モード→ログ分析にて許可を繰り返し、最後に強制モードにする。
d
#include <tunables/global> /usr/local/bin/xxx { #include <abstractions/base> # ※ <abstractions/lxc/conatinaer-base> 等は除く /tmp/apparmor-test/data-r.* r, /tmp/apparmor-test/data-w.* w, }