apparmor_parser

Mit diesem Befehl (apparmor_parser) werden neue Profile in den Kernel importiert, dort vorhandene Profile ersetzt oder gelöscht. Er stellt das Herz der AppArmor-Userspace-Befehle dar. Bei älteren Versionen heißt dieser Befehl subdomain_parser.

Über diesen Befehl laden die AppArmor-Befehle neue Profile und ersetzen vorhandene Profile. Sie können diesen Befehl auch selbst benutzen, um ein geändertes Profil neu zu laden oder ein Profil zu entfernen.

Der Befehl bietet hierfür die folgenden Optionen an:

• -a, -add. Hiermit laden Sie ein Profil in den Kernel. Dies ist auch der Default, wenn keine Option angegeben wurde. Existiert bereits ein Profil mit identischem Namen im Kernel, wird eine Fehlermeldung ausgegeben. Bei Erfolg wird ebenfalls eine Meldung ausgegeben:

   # apparmor_parser -a usr.bin.nmap
  Addition succeeded for "/usr/bin/nmap".
  

  Achtung: Bereits gestartete Anwendungen werden von einem nachträglich geladenen Profil nicht überwacht.
• -r, -replace. Hiermit können Sie ein im Kernel geladenes Profil durch ein aktuelleres Profil ersetzen. Ein Neustart der überwachten Applikation ist nicht erforderlich!

  Befinden Sie sich in dem Verzeichnis /etc/apparmor.d so ist die Angabe des Pfades nicht erforderlich.

  # apparmor_parser -r /etc/apparmor.d/usr.sbin.httpd2-prefork
  Replacement succeeded for "/usr/sbin/httpd2-prefork".
  

• -R, -remove. Hiermit löschen Sie ein geladenes Profil. Eine aktuell laufende Applikation, die von diesem Profil überwacht wurde, wird anschließend nicht mehr überwacht. Auch ein erneutes Laden des Profils stellt die Applikation nicht wieder unter die Überwachung. Dies erfolgt dann erst nach einem Neustart.
• -p, -preprocess. Diese Option ist für Sie wahrscheinlich uninteressant, da der Parser hier lediglich alle Include-Direktiven analysiert und das originale Profil einschließlich aller Include-Dateien auf der Standardausgabe ausgibt.
• -I, -Include. Hiermit können Sie einen zusätzlichen Suchpfad für die Auswertung der absoluten Include-Direktiven angeben. Dies ist meist unnötig.
• -b, -base. Hiermit können Sie das Verzeichnis angeben, in dem relative Include-Direktiven gesucht werden. Auch diese Angabe ist meist unnötig.
• -C, -Complain. Dieser Schalter lädt das Profil im Complain-Modus.
• -h, -help. Hiermit erhalten Sie eine kleine Hilfe.
• -v, -version. Dieser Schalter gibt die Versionsnummer des Parsers aus.
• -d, -debug. Diese Option ist wieder sehr interessant. Wenn Sie diese Option einmal angeben, prüft der Parser die syntaktische Richtigkeit des Profils:

  apparmor_parser -d /etc/apparmor.d/usr.bin.nmap
  Error: #include <abtractions/base> not found. line 6 in /etc/apparmor.d/usr.bin.nmap
  

  Dabei prüft der Parser, ob sämtliche Schlüsselwörter bekannt sind und sämtliche Include-Dateien existieren. Das Vorhandensein der in den Regeln definierten Dateien prüft er nicht.

  Wenn Sie die Debug-Option doppelt angeben, wertet er alle Regeln und Include-Dateien aus und gibt Ihnen das Ergebnis auf dem Bildschirm aus. So können Sie nachvollziehen, auf welche Dateien tatsächlich die Applikation zugreifen darf:

  # apparmor_parser -dd /etc/apparmor.d/usr.bin.nmap
  ----- Debugging built structures -----
  Name:           /usr/bin/nmap
  Subname:        NULL
  Type:           Default Allow
  Capabilities:   net_bind_service net_raw
  --- Entries ---
  Mode:   rw      Name:   (/dev/console)
  Mode:   w       Name:   (/dev/log)
  Mode:   rw      Name:   (/dev/null)
  Mode:   r       Name:   (/dev/pts)
  Mode:   rw      Name:   (/dev/pts/[0-9]*)
  ...
  

  Gerade diese letzte Funktion kann durchaus bei der Fehlersuche behilflich sein. Sie können in der Ausgabe mit grep nach bestimmten Dateien suchen und die Rechte bei Zugriff auslesen.