enforce

Dieser Befehl schaltet ein Profil wieder in den Enforce-Modus. Das ist nur erforderlich, wenn Sie vorher ein Profil manuell mit complain oder autodep in den Complain-Modus geschaltet haben. Die Default-Einstellung für alle Profile ist der Enforce-Modus. Sie können den Befehl auch nutzen, um den Audit-Modus für ein Profil wieder abzuschalten. Genauso wie bei audit und complain können Sie entweder das zu überwachende Programm mit seinem gesamten Pfad oder auch das Profil angeben.

Um zum Beispiel alle Profile in den Enforce-Modus zu versetzen, können Sie den folgenden Befehl verwenden:

# enforce /etc/apparmor.d/*
Setting /etc/apparmor.d/bin.netstat to enforce mode.
Setting /etc/apparmor.d/bin.ping to enforce mode.
Setting /etc/apparmor.d/lib.ld-2.2.so to enforce mode.
Setting /etc/apparmor.d/sbin.klogd to enforce mode.
...

Sie können auch ein neues Profil, welches noch nicht von AppArmor geladen wurde, mit diesem Befehl laden. Dazu kopieren Sie das Profil in das Verzeichnis /etc/apparmor.d und aktivieren es dann mit dem enforce-Kommando. Das funktioniert natürlich auch mit dem complain- und audit-Kommando.