AppArmor¶
什么是 AppArmor?¶
AppArmor 是 Linux 内核的 MAC 风格安全扩展。它实现了一个以任务为中心的策略,任务“配置文件”是从用户空间创建和加载的。系统上没有为其定义配置文件的任务在未受限状态下运行,这等同于标准的 Linux DAC 权限。
如何启用/禁用¶
设置 CONFIG_SECURITY_APPARMOR=y
如果应将 AppArmor 选择为默认安全模块,则设置
CONFIG_DEFAULT_SECURITY_APPARMOR=y
CONFIG_LSM 参数管理 LSM 的顺序和选择。将 apparmor 指定为列表中的第一个“主要”模块(例如,AppArmor、SELinux、Smack)。
构建内核
如果 AppArmor 不是默认安全模块,则可以通过在内核命令行上传递 security=apparmor 来启用它。
如果 AppArmor 是默认安全模块,则可以通过在内核命令行上传递 apparmor=0, security=XXXX(其中 XXXX 是有效的安全模块)来禁用它。
为了使 AppArmor 能够强制执行超出标准 Linux DAC 权限的任何限制,必须从用户空间将策略加载到内核中(请参阅文档和工具链接)。
文档¶
可以在 wiki 上找到文档,链接如下。
链接¶
邮件列表 - apparmor@lists.ubuntu.com
Wiki - http://wiki.apparmor.net
用户空间工具 - https://gitlab.com/apparmor
内核模块 - git://git.kernel.org/pub/scm/linux/kernel/git/jj/linux-apparmor