Modifikation eines Profils ohne Neustart der überwachten Applikation

Wenn Sie ein neues Profil für eine Applikation erzeugen, die bisher noch nicht überwacht wurde, ist es erforderlich, dass Sie nach dem Laden des Profils mit enforce oder rcapparmor reload auch die Applikation neu starten. Applikationen, die bereits gestartet wurden, bevor die entsprechenden Profile geladen wurden, werden nicht überwacht.

Etwas anders ist der Fall gelagert, wenn die Applikation bereits von AppArmor überwacht wird und Sie nur das Profil ändern möchten, während die Applikation weiterläuft. Dies ist möglich. Editieren Sie einfach das Profil und rufen Sie anschließend rcapparmor reload (lädt alle Profile neu) oder apparmor_parser <profil> auf (lädt nur das eine Profil neu). Anschließend sind die Profiländerungen sofort aktiv! Ein Neustart der Applikation ist nicht erforderlich. Dies wirkt sich auch auf bereits geöffnete Dateien aus. Wenn der Zugriff vorher erlaubt war, aber nach der Änderung der Zugriff nicht mehr erlaubt ist, lehnt AppArmor den Zugriff ab, auch wenn die Datei nicht neu geöffnet wird.

Das betrifft auch Subprofile (Hat). Verfügt ein Profil über ein Subprofil, welches vor dem Reload modifiziert wurde, wendet AppArmor auch die neuen Subprofile an.

Natürlich kann es bei einigen Applikationen zu Problemen kommen. Nicht jede Applikation reagiert gutmütig auf Änderungen der Profile. Teilweise stürzt die Applikation ab, wenn vormals offene Dateien plötzlich nicht mehr erreichbar sind oder versucht einen zweiten Zugriff nicht, wenn dieser nach der Änderung vielleicht erlaubt ist. Dann können Sie die Applikation nur durch einen Neustart wieder aktivieren.