帮酷LOGO
0 0 评论
文章标签:apparmor  Ubuntu  Profile  


問題:

是否可以為特定的服務或軟體禁用 AppArmor,而且不是完全關閉AppArmor系統?

AppArmor被認為是selinux的替代品,它是Ubuntu的默認應用程序訪問控制系統 。 許多Ubuntu軟體包(比如,libvirt,MySQL)都附帶了相應的AppArmor概要文件,這限制了程序的安裝能力。

如果您懷疑AppArmor正在干擾特定軟體,您可以嘗試禁用其AppArmor配置文件作為故障排除的一部分。 以下是如何禁用特定的AppArmor配置文件

檢查當前AppArmor狀態

要檢查當前的AppArmor狀態,請使用 aa-status 命令。

$ sudo aa-status

 
 


apparmor module is loaded.
24 profiles are loaded.
24 profiles are in enforce mode./sbin/dhclient/usr/sbin/tcpdump.... . 
0 profiles are in complain mode.
6 processes have profiles defined.
6 processes are in enforce mode./sbin/dhclient (1599).... . 
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.


 

禁用特定的AppArmor配置文件

要禁用特定的AppArmor配置文件,請先標識AppArmor配置文件的名稱。 所有現有的AppArmor配置文件都在 /etc/apparmor.d/

在本示例中,我們將選擇AppArmor配置文件: tcpdump

若要禁用AppArmor配置文件,請執行下列操作, tcpdump (AppArmor配置文件名稱為 usr.sbin.tcpdump ),運行以下命令。

$ sudo ln -s/etc/apparmor.d/usr.sbin.tcpdump/etc/apparmor.d/disable/
$ sudo/etc/init. d/apparmor restart

現在,AppArmor已被禁用 tcpdump 你可以通過運行以下命令來檢查AppArmor狀態,

$ sudo aa-status

你應該知道 tcpdump 在強制模式下不再列出。

啟用特定的AppArmor配置文件

要重新啟用AppArmor tcpdump :

$ sudo rm/etc/apparmor.d/disable/usr.sbin.tcpdump
$ sudo/etc/init. d/apparmor restart

注意完全禁用系統範圍的AppArmor或永久禁用特定的AppArmor配置文件不是一個好主意 。 禁用AppArmor配置文件應該是故障排除期間的臨時措施。 如果你發現AppArmor正在干擾特定軟體,就需要更正相應的AppArmor配置文件,比如,修復任何不正確的路徑等等,而且不是永久關閉它,



文章标签:Ubuntu  Profile  apparmor  

Copyright © 2011 HelpLib All rights reserved.    知识分享协议 京ICP备05059198号-3  |  如果智培  |  酷兔英语