Apparmor; Selinux gibi sistemdeki MAC ( Mandatory Access Control - Zorunlu Erişim Kontrolü ) sürekli arkaplanda çalışan bir servisdir. Sisteme zarar verebilecek ayarları, servisleri ve diğer ayarları kontrol edip sınırlandırır. Sistem açılışlarında default olarak aktiftir.
Aşağıdaki komut ile kural setlerini ve profilleri kontrol edebilirsiniz.
apparmor_status
Örnek çıktı:
apparmor module is loaded.24 profiles are loaded.22 profiles are in enforce mode. /usr/bin/evince /usr/bin/evince-previewer /usr/bin/evince-previewer//sanitized_helper /usr/bin/evince-thumbnailer /usr/bin/evince-thumbnailer//sanitized_helper /usr/bin/evince//sanitized_helper /usr/bin/man /usr/lib/cups/backend/cups-pdf /usr/lib/telepathy/mission-control-5 /usr/lib/telepathy/telepathy-* /usr/lib/telepathy/telepathy-*//pxgsettings /usr/lib/telepathy/telepathy-*//sanitized_helper /usr/lib/telepathy/telepathy-ofono /usr/sbin/cups-browsed /usr/sbin/cupsd /usr/sbin/cupsd//third_party /usr/sbin/named libreoffice-senddoc libreoffice-soffice//gpg libreoffice-xpdfimport man_filter man_groff2 profiles are in complain mode. libreoffice-oopslash libreoffice-soffice4 processes have profiles defined.4 processes are in enforce mode. /usr/sbin/cups-browsed (492) /usr/sbin/cupsd (455) /usr/sbin/cupsd (496) /usr/sbin/named (592) 0 processes are in complain mode.0 processes are unconfined but have a profile defined.
Servisi durdurmak için aşağıdaki komutu kullanabilirsiniz.
service apparmor stop
/etc/init.d/apparmor stop
Tüm profillerin kontrolü disable etmek için aşağıdaki komutu kullanabilirsiniz.
root@local:/etc/apparmor.d# ln -s /etc/apparmor.d/* /etc/apparmor.d/disable/root@local:/etc/apparmor.d# apparmor_parser -R /etc/apparmor.d/*root@local:/etc/apparmor.d# aa-status
Sadece MySQL i disable etmek.
root@local:/etc/apparmor.d# ln -s /etc/apparmor.d/usr.sbin.mysqld /etc/apparmor.d/disable/root@local:/etc/apparmor.d# apparmor_parser -R /etc/apparmor.d/usr.sbin.mysqldroot@local:/etc/apparmor.d# aa-status
root@local:~# systemctl stop mysqlroot@local:~# systemctl start mysqlroot@local:~# service mysql status
Linux
hakkında diğer konular