Como o AppArmor corresponde os perfis aos processos?

Navegue suas respostas
0

Quais são as formas pelas quais os perfis do AppArmor podem ser correspondidos aos processos? Um parece ser baseado em caminho (por exemplo, o /sbin/dhclient profile é aplicado quando /sbin/dhclient é executado), mas isso é devido a /sbin/dhclient aparecer no perfil sbin.dhclient ou à maneira como sbin.dhclient é nomeado?

Além disso, para correspondência de perfil sem caminho (por exemplo, para o perfil docker-default ), como o AppArmor informa quais processos aplicar o perfil a?

    
por dippynark 19.11.2018 / 11:03

1 resposta

1

Os perfis do AppArmor usando um caminho desconexo do comando para o nome do arquivo são apenas uma convenção. De man 7 apparmor :

Profiles are traditionally stored in files in /etc/apparmor.d/ under filenames with the convention of replacing the / in pathnames with . (except for the root /) so profiles are easier to manage (e.g. the /usr/sbin/nscd profile would be named usr.sbin.nscd).

O nome do perfil, se contiver um arquivo glob, se aplica aos arquivos correspondidos por esse glob. De a referência de política principal do AppArmor :

The attachment specification is used by AppArmor to determine which executables a profile will attach to. If alternate profile name is not supplied the attachment specification is also used as the profiles name and if an attachment specification is not specified a profile name must be provided.

The name of a profile is very import in AppArmor. It provides not only a name(s) that users can associate to the set of profile rules, but is also used for labeling, ipc, and in the case that the name is an attachment specification it determines to which executables the profile attaches.

    
por 19.11.2018 / 11:49

Tags

Por que o comando update exibe o mesmo ppa? como converter um arquivo ics (exportado do calendário do google) como diário textual