帮酷LOGO
0 0 评论
文章标签:apparmor  Ubuntu  Profile  

问题:

是否可以为特定的服务或软件禁用 AppArmor,而且不是完全关闭AppArmor系统?

AppArmor被认为是selinux的替代品,它是Ubuntu的默认应用程序访问控制系统 。 许多Ubuntu软件包(比如,libvirt,MySQL)都附带了相应的AppArmor概要文件,这限制了程序的安装能力。

如果您怀疑AppArmor正在干扰特定软件,您可以尝试禁用其AppArmor配置文件作为故障排除的一部分。 以下是如何禁用特定的AppArmor配置文件

检查当前AppArmor状态

要检查当前的AppArmor状态,请使用 aa-status 命令。

$ sudo aa-status

 
 


apparmor module is loaded.
24 profiles are loaded.
24 profiles are in enforce mode./sbin/dhclient/usr/sbin/tcpdump.... . 
0 profiles are in complain mode.
6 processes have profiles defined.
6 processes are in enforce mode./sbin/dhclient (1599).... . 
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.


 

禁用特定的AppArmor配置文件

要禁用特定的AppArmor配置文件,请先标识AppArmor配置文件的名称。 所有现有的AppArmor配置文件都在 /etc/apparmor.d/

在本示例中,我们将选择AppArmor配置文件: tcpdump

若要禁用AppArmor配置文件,请执行下列操作, tcpdump (AppArmor配置文件名称为 usr.sbin.tcpdump ),运行以下命令。

$ sudo ln -s/etc/apparmor.d/usr.sbin.tcpdump/etc/apparmor.d/disable/
$ sudo/etc/init. d/apparmor restart

现在,AppArmor已被禁用 tcpdump 你可以通过运行以下命令来检查AppArmor状态,

$ sudo aa-status

你应该知道 tcpdump 在强制模式下不再列出。

启用特定的AppArmor配置文件

要重新启用AppArmor tcpdump :

$ sudo rm/etc/apparmor.d/disable/usr.sbin.tcpdump
$ sudo/etc/init. d/apparmor restart

注意完全禁用系统范围的AppArmor或永久禁用特定的AppArmor配置文件不是一个好主意 。 禁用AppArmor配置文件应该是故障排除期间的临时措施。 如果你发现AppArmor正在干扰特定软件,就需要更正相应的AppArmor配置文件,比如,修复任何不正确的路径等等,而且不是永久关闭它,



文章标签:Ubuntu  Profile  apparmor  

Copyright © 2011 HelpLib All rights reserved.    知识分享协议 京ICP备05059198号-3  |  如果智培  |  酷兔英语