0

0

Linux AppArmor 配置与应用

冰川箭仙

冰川箭仙

发布时间:2026-02-22 13:54:12

|

750人浏览过

|

来源于php中文网

原创

apparmor策略需手动加载才生效,配置文件位于/etc/apparmor.d/,须用apparmor_parser或aa-enforce显式解析;路径匹配以绝对路径为准,不支持递归通配符**(旧内核),且依赖进程工作目录;初始profile推荐aa-genprof交互式生成,aa-autodep仅作补充;加载后拒绝无日志时应检查audit设置、profile模式及进程名匹配。

linux apparmor 配置与应用

AppArmor 配置文件写在哪、怎么加载

AppArmor 的策略不是写在 /etc/apparmor.d/ 下就自动生效的——必须显式加载。默认策略文件放在 /etc/apparmor.d/,但只有被 aa-enforceapparmor_parser 解析后才起作用。

常见错误:改完 /etc/apparmor.d/usr.bin.firefox 就以为限制生效了,结果进程照样读任意文件。其实得手动加载:

  • sudo apparmor_parser -r /etc/apparmor.d/usr.bin.firefox(重载单个)
  • sudo aa-enforce /etc/apparmor.d/usr.bin.firefox(等价,但更语义化)
  • 加载失败时,apparmor_parser 会报错,比如 Invalid profile: 'deny /tmp/**' — missing comma or unexpected token,注意末尾逗号和空格

profile 中 path 规则为什么总不匹配

路径匹配是 AppArmor 最容易出错的部分:它不支持通配符递归(** 只在部分新版内核中有限支持),且路径以进程当前 working directory 为基准,不是绝对路径的“字面意思”。

典型场景:你想限制 /opt/myapp/bin/myserver 不能写 /var/log/myapp/,但 profile 写成 /var/log/myapp/** rw, 却没生效——因为该进程实际 chdir 到了 /opt/myapp,而 AppArmor 默认用相对路径解析(除非加 abstraction 或显式声明 /var/log/myapp/** 为绝对路径)。

  • 始终用绝对路径开头,如 /var/log/myapp/** rw,,不要省略 /
  • ** 不等于 shell 的 glob:它只匹配多级子目录,不跨挂载点,也不展开符号链接
  • 检查是否被 abstraction 覆盖:运行 aa-status 看 profile 是否处于 enforce 模式,且对应进程名是否列在 “processes” 下

如何快速生成初始 profile(aa-genprof vs aa-autodep)

aa-genprof 是交互式学习模式,适合首次为未知程序建模;aa-autodep 是静态依赖扫描,只看二进制 ldd 和硬编码路径,漏掉运行时打开的文件(比如日志路径、配置目录)。

乐彼多用户商城系统LBMall(.net)
乐彼多用户商城系统LBMall(.net)

乐彼多用户商城系统,采用ASP.NET分层技术和AJAX技术,运营于高速稳定的微软.NET+MSSQL 2005平台;完全具备搭建超大型网络购物多用户网上商城的整体技术框架和应用层次LBMall 秉承乐彼软件优秀品质,后台人性化设计,管理窗口识别客户端分辨率自动调整,独立配置的菜单操作锁,使管理操作简单便捷。待办事项1、新订单、支付、付款、短信提醒2、每5分钟自动读取3、新事项声音提醒 店铺管理1

下载

真实使用中,90% 的失败 profile 都源于只跑了一次 aa-autodep 就上线。它生成的规则太窄,连 /proc/sys/kernel/osrelease 这种系统信息读取都会被拦。

  • 新服务首次配 policy,必须用 sudo aa-genprof /usr/bin/myapp,然后实际操作一遍所有功能(启动、读配置、写日志、调 API)
  • aa-autodep 只适合补漏或快速初稿,例如:aa-autodep /usr/local/bin/backup.sh 得到基础路径后,再进 aa-genprof 补日志和临时文件规则
  • 注意 aa-genprof 会把 ptracesignal 等权限也记下来,生产环境要人工删掉不必要的 capability

profile 加载后进程仍被拒绝,但 dmesg 没日志

AppArmor 拒绝行为默认只记到内核 ring buffer,不一定进 dmesg 或 syslog——尤其当 audit=1 未启用,或日志级别被过滤时。

最直接的办法是开 audit 日志并实时抓:运行 sudo dmesg -w | grep -i apparmor,再触发一次被拒操作(比如 touch 一个受限路径)。如果还看不到,说明可能根本没命中 profile——进程名不匹配,或者 profile 处于 complain 模式。

  • 确认 profile 名和进程名一致:ps aux | grep myapp 看实际命令路径,profile 文件名应为 /etc/apparmor.d/usr.bin.myapp 或通过 #include 引入
  • 检查当前模式:sudo aa-status | grep myapp,输出里是 enforce 还是 complain
  • 若用 systemd 启动,确保 service 文件没加 ProtectSystem=strict 等干扰 AppArmor 的选项,二者叠加可能导致策略冲突

AppArmor 的坑不在语法多难,而在路径解析逻辑、加载时机、和 audit 日志可见性这三点上。调一个 profile 花两小时,往往一小时在找为什么没生效,而不是写规则本身。

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
登录token无效
登录token无效

登录token无效解决方法:1、检查token的有效期限,如果token已经过期,需要重新获取一个新的token;2、检查token的签名,如果签名不正确,需要重新获取一个新的token;3、检查密钥的正确性,如果密钥不正确,需要重新获取一个新的token;4、使用HTTPS协议传输token,建议使用HTTPS协议进行传输 ;5、使用双因素认证,双因素认证可以提高账户的安全性。

6408

2023.09.14

登录token无效怎么办
登录token无效怎么办

登录token无效的解决办法有检查Token是否过期、检查Token是否正确、检查Token是否被篡改、检查Token是否与用户匹配、清除缓存或Cookie、检查网络连接和服务器状态、重新登录或请求新的Token、联系技术支持或开发人员等。本专题为大家提供token相关的文章、下载、课程内容,供大家免费下载体验。

837

2023.09.14

token怎么获取
token怎么获取

获取token值的方法:1、小程序调用“wx.login()”获取 临时登录凭证code,并回传到开发者服务器;2、开发者服务器以code换取,用户唯一标识openid和会话密钥“session_key”。想了解更详细的内容,可以阅读本专题下面的文章。

1087

2023.12.21

token什么意思
token什么意思

token是一种用于表示用户权限、记录交易信息、支付虚拟货币的数字货币。可以用来在特定的网络上进行交易,用来购买或出售特定的虚拟货币,也可以用来支付特定的服务费用。想了解更多token什么意思的相关内容可以访问本专题下面的文章。

1663

2024.03.01

磁盘配额是什么
磁盘配额是什么

磁盘配额是计算机中指定磁盘的储存限制,就是管理员可以为用户所能使用的磁盘空间进行配额限制,每一用户只能使用最大配额范围内的磁盘空间。php中文网为大家提供各种磁盘配额相关的内容,教程,供大家免费下载安装。

1520

2023.06.21

如何安装LINUX
如何安装LINUX

本站专题提供如何安装LINUX的相关教程文章,还有相关的下载、课程,大家可以免费体验。

715

2023.06.29

linux find
linux find

find是linux命令,它将档案系统内符合 expression 的档案列出来。可以指要档案的名称、类别、时间、大小、权限等不同资讯的组合,只有完全相符的才会被列出来。find根据下列规则判断 path 和 expression,在命令列上第一个 - ( ) , ! 之前的部分为 path,之后的是 expression。还有指DOS 命令 find,Excel 函数 find等。本站专题提供linux find相关教程文章,还有相关

300

2023.06.30

linux修改文件名
linux修改文件名

本专题为大家提供linux修改文件名相关的文章,这些文章可以帮助用户快速轻松地完成文件名的修改工作,大家可以免费体验。

791

2023.07.05

pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法
pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法

本专题系统整理pixiv网页版官网入口及登录访问方式,涵盖官网登录页面直达路径、在线阅读入口及快速进入方法说明,帮助用户高效找到pixiv官方网站,实现便捷、安全的网页端浏览与账号登录体验。

1030

2026.02.13

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
PostgreSQL 教程
PostgreSQL 教程

共48课时 | 9.5万人学习

Git 教程
Git 教程

共21课时 | 3.8万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号