主页 / unix / 问题 / 482712
Accepted
dippynark
Asked: 2018-11-20 02:03:18 +0800 CST

AppArmor 如何将配置文件与进程匹配?

  • 772

AppArmor 配置文件可以通过哪些方式与进程匹配?一个似乎是基于路径的(例如,/sbin/dhclient配置文件在/sbin/dhclient执行时应用)但这是由于/sbin/dhclient出现在sbin.dhclient配置文件中还是因为sbin.dhclient命名方式?

此外,对于非基于路径的配置文件匹配(例如,对于docker-default配置文件),AppArmor 如何告知将配置文件应用到哪些进程?

apparmor

1 个回答

  1. Best Answer

    AppArmor 配置文件使用命令的损坏路径作为文件名只是一种约定。来自man 7 apparmor

    配置文件传统上存储在文件/etc/apparmor.d/名下的文件中,按照惯例将/in 路径名替换为. (根目录除外/),因此配置文件更易于管理(例如, /usr/sbin/nscd配置文件将被命名为usr.sbin.nscd)。

    配置文件名称(如果它包含文件 glob)适用于与该 glob 匹配的文件。来自AppArmor 核心政策参考

    AppArmor 使用附件规范来确定配置文件将附加到哪些可执行文件。如果未提供备用配置文件名称,则附件规范也用作配置文件名称,如果未指定附件规范,则必须提供配置文件名称。

    配置文件的名称在 AppArmor 中非常重要。它不仅提供用户可以关联到配置文件规则集的名称,而且还用于标记、ipc,并且在名称是附件规范的情况下,它确定配置文件附加到哪些可执行文件。

    • 2

相关问题