主页 / unix / 问题 / 445773
Accepted
Stefan
Asked: 2018-05-25 06:44:19 +0800 CST

如何教 AppArmor 关于顶级符号链接

  • 772

我将我的“根”分区分成两部分:一个包含大多数文件的普通分区,另一个用于那些可以“增长”的区域。具体来说,这意味着,我有如下符号链接:

/var/log   -> /part1/log
/var/cache -> /part1/cache
/var/spool -> /part1/spool

这一直很好,直到我开始使用 AppArmor,它一直抱怨诸如 cupsd 正在查看 /part1/log/cups/.. 中的文件之类的事情。

我目前通过为受 AppArmor 保护的每个应用程序添加条目来解决此问题,但这很乏味。

有什么方法可以一劳永逸地告诉 AppArmor,如果/var/log/FOO允许访问,/part1/log/FOO那么也应该允许访问?

symlink apparmor

2 个回答

  1. Best Answer

    可以/etc/apparmor.d/tunables/alias按如下方式完成:

    # Alias rules can be used to rewrite paths and are done after variable
# resolution. For example, if '/usr' is on removable media:
# alias /usr/ -> /mnt/usr/,
#
# Or if mysql databases are stored in /home:
# alias /var/lib/mysql/ -> /home/mysql/,

/var/log   -> /part1/log,
/var/cache -> /part1/cache,
/var/spool -> /part1/spool,

    也可以看看:

    • 2

  2. 不更改设置的唯一解决方案是编辑所有配置文件以指向新位置。这可以通过模式匹配然后仔细审查来完成。它还可能使升级更加复杂,因为您必须不断地应用这些更改。

    最简单的解决方法是对这些目录使用绑定挂载。

    添加以下内容/etc/fstab应该足以替换符号链接:

    /var/log /part1/log none defaults,bind 0 0
/var/cache /part1/cache none defaults,bind 0 0
/var/spool /part1/spool none defaults,bind 0 0

    确保这些线在/part1安装之后。

    • 0

相关问题