audit

Mit dem Befehl audit können Sie ein Programm in den Audit-Modus schalten. Leider ist für diesen Befehl keine Manpage vorhanden. Er verhält sich jedoch genauso, wie auch der Befehl enforce und complain. Im Audit-Modus wird die Applikation von AppArmor genauso überwacht, wie in dem Enforce-Modus. Die Applikation darf nur die von dem Profil erlaubten Zugriffe durchführen. Unerlaubte Zugriffe werden wie im Enforce-Modus protokolliert. Zusätzlich werden aber auch alle erlaubten Zugriffe protokolliert. Eine typische Protokollmeldung ist im folgenden zu sehen:

type=APPARMOR msg=audit(1151477803.302:3398): AUDITING r access to /etc/mtab (df(13541) profile /usr/sbin/httpd2-prefork active /phpsysinfo/)

Diese Protokollmeldungen benötigen natürlich Rechenzeit und Speicherplatz. Daher sollte auf einem Produktivsystem diese Funktion möglichst nicht genutzt werden. Dennoch kann so sehr einfach kontrolliert werden, worauf eine Applikation wann zugreifen möchte.

Die Syntax des Befehls ist sehr einfach. Sie geben lediglich den Namen des Programmes an:

audit /usr/sbin/httpd2-prefork

Alternativ können Sie auch den Namen des Profils angeben. Um alle überwachten Profile in den Audit-Modus zu versetzen, genügt ein:

audit /etc/apparmor.d/*

Für den unwahrscheinlichen Fall, dass sich das Profil nicht an der üblichen Stelle befindet, können Sie mit der Option -d <directory> das Profilverzeichnis angeben.