subdomain.conf

Diese Datei enthält aktuell vier Variablen, die das Verhalten des AppArmor-Systems steuern. Hierbei handelt es sich um:

• SUBDOMAIN_PATH. Diese Variable definiert das Verzeichnis, in dem AppArmor seine Profile sucht. Bei aktuellen SUSE Linux Distributionen ist dies das Verzeichnis /etc/apparmor.d, auch wenn die Dokumentation in der Konfigurationsdatei etwas anderes angibt.

• SUBDOMAIN_MODULE_PANIC. Diese Variable definiert, wie sich das System verhalten soll, wenn bei dem Laden des AppArmor-Kernelmoduls ein Fehler auftritt.
  • warn. Der Fehler wird protokolliert. Dies ist der Default.
  • build. Es wird der Versuch unternommen ein neues Kernelmodul für den laufenden Kernel zu bauen. Schlägt dies fehl, erfolgt eine Protokollierung.
  • panic. Der Fehler wird protokolliert und das System wechselt in den Runlevel 1. Damit wird sichergestellt, dass ein Angriff nicht möglich ist.
  • build-panic. Es wird zunächst der Versuch unternommen, ein neues Kernelmodul zu bauen. Schlägt dieser Versuch fehl, erfolgt dieselbe Reaktion wie bei panic.
• SUBDOMAIN_ENABLE_OWLSM. Hiermit könnten Sie das owlsm-Kernelmodul zusätzlich laden. Leider unterstützen aktuelle Kernel dieses LSM-Modul nicht mehr. Dieses Modul implementiert einige Ideen des Openwall-Linux-Patches bezüglich Race-Conditions in temporären Verzeichnissen. Zwei Beschränkungen werden von diesem Modul erzeugt:
  • Hard Links: Sie dürfen nur dann einen Hardlink auf eine Datei erzeugen, wenn Sie der Besitzer der Datei sind, oder das Recht CAP_CHOWN besitzen.
  • Symbolische Links: Symbolische Links werden nur verfolgt, wenn diese von dem Besitzer des Verzeichnisses oder des aktuellen Prozesses erzeugt wurden.
• APPARMOR_ENABLE_AAEVENTD. Dieser Dienst wird für die Berichterzeugung benötigt, die Sie über Yast konfigurieren können (siehe 9.4. Sobald Sie diese Berichte aktiviert haben, wird der Dienst aa-eventd automatisch über sein Startskript /etc/init.d/aaeventd gestartet. Für dieses Perl-Skript gibt es keine Manpage. Die ist aber auch nicht erforderlich, da das Skript als einzige Option die Angabe einer PID-Datei erlaubt.