Welche Prozesse werden überwacht?

Um nun schnell ermitteln zu können, welche Prozesse bereits überwacht werden, gibt es eine Möglichkeit. Hierfür können Sie nur das Kommando unconfined benutzen. Dieses Kommando ruft den Befehl netstat auf und ermittelt so alle Netzwerkdienste. Wie Sie alle laufenden Prozesse auf ihren AppArmor-Status prüfen können, ist in dem Abschnitt 10.3.9 erläutert. Anschließend prüft es, ob diese Netzwerkdienste von AppArmor überwacht werden. Sinnvoll ist es, dass alle über das Netzwerk erreichbaren Dienste als potentielle Sicherheitslücken von AppArmor überwacht werden:

\# unconfined
11314 /sbin/dhcpcd not confined
11470 /usr/sbin/mdnsd confined by '/usr/sbin/mdnsd (enforce)'
11470 /usr/sbin/mdnsd confined by '/usr/sbin/mdnsd (enforce)'
11487 /usr/lib/zmd/zmd-bin not confined
11527 /sbin/portmap not confined
11527 /sbin/portmap not confined
11646 /usr/sbin/cupsd not confined
11646 /usr/sbin/cupsd not confined
11728 /usr/lib/postfix/master confined by '/usr/lib/postfix/master (enforce)'
11728 /usr/lib/postfix/master confined by '/usr/lib/postfix/master (enforce)'
11840 /usr/sbin/sshd not confined

Wenn Sie lediglich die geladenen Profile anzeigen möchten, genügt der folgende Befehl:

\# cat /sys/kernel/security/apparmor/profiles
/usr/sbin/traceroute (enforce)
/usr/sbin/squid (enforce)
/usr/sbin/sendmail (enforce)
...

Diese Liste zeigt Ihnen, welche Prozesse potentiell von AppArmor überwacht werden, falls das entsprechende Programm gestartet wird.