AppArmor特殊策略文件

本文详细介绍了AppArmor的各个配置文件目录,包括${APPARMOR.D}/abstractions/、${APPARMOR.D}/cache/、${APPARMOR.D}/disable/、${APPARMOR.D}/force-complain/、${APPARMOR.D}/local/、${APPARMOR.D}/namespaces/等,阐述了每个目录的功能和用途,以及配置文件的命名约定,帮助理解AppArmor的策略管理和安全控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

${APPARMOR.D}/abstractions/

该目录包含可被配置文件包含的通用配置文件“块”的文件和目录。

这些文件可以看作是访问规则库。abstraction文件可能包括其他抽象(如果合适的话——太频繁会使配置审计不那么清晰)。按照惯例,子目录用于对逻辑相关的抽象进行分组。

AppArmor集成商可以在子目录中提供它们自己的一组抽象和更改。

例如,Ubuntu使用abstractions/ubuntu-browsers. d/包含对Ubuntu中的web浏览器进行分析的抽象。

${APPARMOR.D}/cache/

此目录包含配置文件目录中已预编译和缓存的每个文件的文件。文件名与它正在缓存的配置文件的文件名匹配。

具有相同名称前缀为'.'将包含用于构建缓存二进制文件的文件列表,并可用于验证缓存文件是否有效。例如:

${APPARMOR.D}/usr.bin.evince           # 配置文件
${APPARMOR.D}/cache/usr.bin.evince     # usr.bin.evince配置文件的二进制缓存
${APPARMOR.D}/cache/.usr.bin.evince    # 用于创建usr.bin.evince的文件列表(每行一个)

有一个特殊的.features文件,其中包含构建缓存二进制策略时有关内核特性的信息。这允许在缓存与当前内核支持的缓存不匹配时使其无效。

${APPARMOR.D}/disable/

此目录可能包含指向该${APPARMOR. D}目录中配置文件的符号链接。在这个目录中带有符号链接的配置文件将被initscripts忽略。

${APPARMOR.D}/force-complain/

此目录可能包含指向${APPARMOR. D}目录中的配置文件的符号链接。在这个目录中带有符号链接的配置文件由initscripts以投诉模式加载。

${APPARMOR.D}/loc

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值