AppArmor¶
什么是AppArmor?¶
AppArmor是Linux内核的MAC风格安全扩展。它实现了一个以任务为中心的策略,任务“配置文件”从用户空间创建和加载。系统上没有为其定义配置文件的任务以非限制状态运行,这等效于标准的Linux DAC权限。
如何启用/禁用¶
设置 CONFIG_SECURITY_APPARMOR=y
如果应该选择AppArmor作为默认的安全模块,则设置
CONFIG_DEFAULT_SECURITY_APPARMOR=y
CONFIG_LSM参数管理LSM的顺序和选择。 将apparmor指定为列表中的第一个“主要”模块(例如,AppArmor,SELinux,Smack)。
构建内核
如果AppArmor不是默认的安全模块,则可以通过在内核命令行上传递 security=apparmor
来启用它。
如果AppArmor是默认的安全模块,则可以通过在内核命令行上传递 apparmor=0, security=XXXX
(其中 XXXX
是有效的安全模块) 来禁用它。
为了使AppArmor强制执行超出标准Linux DAC权限的任何限制,必须从用户空间将策略加载到内核中(请参阅文档和工具链接)。
文档¶
文档可以在wiki上找到,链接如下。
链接¶
邮件列表 - apparmor@lists.ubuntu.com
Wiki - http://wiki.apparmor.net
用户空间工具 - https://gitlab.com/apparmor
内核模块 - git://git.kernel.org/pub/scm/linux/kernel/git/jj/linux-apparmor