Capabilities

Verschiedenste Programme müssen privilegierte Aktionen durchführen. Diese wurden bereits vor längerer Zeit in unterschiedliche Capabilities unterteilt (siehe 5). AppArmor überwacht die Verwendung der Capabilities. Damit ein Programm eine Capability verwenden darf, muss das Profil eine entsprechende Regel aufweisen. Diese Regeln bestehen aus dem Schlüsselwort capability und dem Namen der Capability (siehe capabilities(7)-Manpage) in Kleinbuchstaben.

  capability net_raw,
  capability setuid,

Der Zugriff für die Systemaufrufe mount(2) und umount(2) kann so aber nicht gewährt werden. Die Capability CAP_SYS_ADMIN genügt hier nicht. Kein Programm, welches von AppArmor überwacht wird, darf diese Systemcalls aufrufen. Ebenso kann das Laden der AppArmor-Richtlinien keinem von AppArmor überwachten Programm erlaubt werden.