AppArmor

什么是AppArmor?

AppArmor是Linux内核的MAC风格安全扩展。它实现了一个以任务为中心的策略,任务“配置文件”从用户空间创建和加载。系统上没有为其定义配置文件的任务以非限制状态运行,这等效于标准的Linux DAC权限。

如何启用/禁用

设置 CONFIG_SECURITY_APPARMOR=y

如果应该选择AppArmor作为默认的安全模块,则设置

CONFIG_DEFAULT_SECURITY_APPARMOR=y

CONFIG_LSM参数管理LSM的顺序和选择。 将apparmor指定为列表中的第一个“主要”模块(例如,AppArmor,SELinux,Smack)。

构建内核

如果AppArmor不是默认的安全模块,则可以通过在内核命令行上传递 security=apparmor 来启用它。

如果AppArmor是默认的安全模块,则可以通过在内核命令行上传递 apparmor=0, security=XXXX (其中 XXXX 是有效的安全模块) 来禁用它。

为了使AppArmor强制执行超出标准Linux DAC权限的任何限制,必须从用户空间将策略加载到内核中(请参阅文档和工具链接)。

文档

文档可以在wiki上找到,链接如下。