AppArmor Befehle

AppArmor verwendet viele verschiedene Befehle, um seine Funktion sicherzustellen. Bei den meisten Befehlen handelt es sich um Perl-Skripte, die auf die Perl-Bibliothek Immunix::Subdomain zugreifen. Sie können diese Perlbibliothek auch für eigene Skripte nutzen.

Im einzelnen werde ich Ihnen nun die folgenden Befehle vorstellen:

• apparmor_status: Dieser Befehl zeigt Ihnen den aktuellen Status von AppArmor an (früher: subdomain_status)
• audit: Dieser Befehl schaltet ein Profil in den Audit-Modus. Alle erlaubten Zugriffe werden protokolliert.
• autodep: Hiermit können Sie ein Basis-Profil für eine Applikation erzeugen.
• complain: Hiermit schalten Sie ein Profil in den Complain-Modus. In diesem Lernmodus werden alle in dem Profil verbotenen Zugriffe erlaubt und protokolliert.
• enforce: Hiermit schalten Sie ein Profil wieder in den Enforce-Modus. Dies ist der Default. Alle nicht im Profil erlaubten Zugriffe werden abgelehnt.
• genprof: Hiermit erzeugen Sie für eine Applikation ein neues Profil oder aktualisieren es.
• logprof: Dieser Befehl ist vor allem sinnvoll, wenn viele Profile angepasst werden müssen. Versetzen Sie alle Profile in den Complain-Modus, nutzen Sie das System und analysieren Sie es anschließend mit Logprof.
• apparmor_parser: Dies ist das Herz der AppArmor-Profile. Hiermit können Sie Profile in den Kernel laden, ersetzen und löschen.
• unconfined: Dieser Befehl prüft, welche Applikationen aktuell von AppArmor überwacht werden.

Fast alle Befehle weisen eine Manpage auf. Daher werde ich teilweise auch auf diese Dokumentation verweisen.