Debian Ubuntu apparmor создание профилей
В примере создается профиль для утилиты /bin/ps
До начала процесса создания, определим, что в системе нет профиля для данной утилиты.
# ls /usr/share/doc/apparmor-profiles/extras/ | grep ps
# ls /etc/apparmor.d | grep ps
Запускаем утилиту aa-genpof для сканирования и записи в журнал действий с программой.
# aa-genprof /bin/ps
После запуска, не останавливая программу aa-genpof, начинаем работать с ps,
выполняя действия, демонстрируя работу утилиты.
# ps
# ps -ef | grep sshd
# ps -aux
Далее сканируем системный журнал на предмет событий, которые зафиксировал Apparmor
в ходе демонстрации работы. Для сканирования нажимаем (S)can .
Результаты сканирования будут отображаться в виде действий, которые стоит разрешить (A)
для добавления в профиль или выбрать другое действие:
Allow – разрешить действие
Deny – запретить действие
Glob – разрешить действия для всех файлов указанного каталога
Glob w/Ext – разрешить действия со всеми файлами данного типа
New – режим, в котором можно указать другой путь к файлу или директории вместо предложенной
Abort – прервать работу без сохранения
Finish – завершить работу с сохранением
Opts – доп. опции.
По завершению сканирования, нажимаем (F)inish или (S)ave Changes, если профиль создается повторно. Переводим профиль в режим enforce и проверяем работоспособность утилиты.