openSUSE:Bugreport AppArmor

跳转到:导航搜索

默认情况下,AppArmor 预定义并默认启用多个安全配置文件。虽然许多用户在使用 SUSE Linux 提供的安全策略时不会遇到困难,但不可避免地,有些用户会以我们无法测试的方式配置他们的系统——这些配置差异中的一些可能需要更新策略以允许程序运行。

更新配置文件

您可以使用 aa-complain 程序立即将配置文件置于“学习模式”。此步骤并非绝对必要,但可以快速恢复机器功能。运行 "aa-complain /etc/apparmor.d/*" 将立即将所有配置文件置于学习模式,如果您的配置与我们的配置文件设计允许的不同很大,这可能会很有用。

Icon-warning.png
警告: 投诉/学习模式意味着 AppArmor 不会限制程序的运行。它“仅”记录程序的操作。

完成配置文件更新后,请使用aa-enforce将您的配置文件切换回强制模式。

您可以使用 aa-logprof 程序更新您的安全策略;您可以以 root 用户身份在终端中运行 aa-logprof,也可以使用 YaST2 AppArmor / 更新配置文件向导界面。您会被问到一系列问题;每个问题都在询问特定程序对特定文件的访问权限。您将可以选择允许访问特定文件、使用 shell 样式的通配符授予访问权限、自动包含一些预定义的策略片段(称为“抽象”),或拒绝访问。

报告您的配置文件更新

完成 aa-logprof 过程后,请考虑提交错误报告(产品:openSUSE x.y,组件:AppArmor);如果您遇到了策略不足的问题,其他用户很可能会遇到相同的问题,并且会从您的经验中受益。

为了为用户做出最佳决策,我们要求在 AppArmor 策略错误报告中提供一些具体信息

  • 来自 /var/log/audit/audit.log(或如果 auditd 未运行,则来自 /var/log/messages)的 REJECTING 或 PERMITTING 消息
  • 可选:配置文件更改(但是 REJECTING 或 PERMITTING 日志消息更重要)
  • 程序配置的简要描述
  • 导致拒绝消息的最直接操作的简要描述

另请参阅 AppArmor 的贡献页面

从 "https://en.opensuse.net.cn/index.php?title=openSUSE:Bugreport_AppArmor&oldid=47871" 检索