ubuntu中的apparmor

apparmor是什么

Apparmor是ubuntu自带的安全工具，可以限制已知应用的能力，控制应用访问文件、目录和网络的能力。具有类似功能的工具还包括selinux、lids，目前selinux、lids和apparmor遵循LSM框架，并通过LSM框架整合到内核中。

常用apparmor操作

1、/etc/init.d/apparmor start|stop|restart|status 用于启动、停止、重启apparmor和查看apparmor进程的状态。
2、apparmor_status可查看受apparmor控制的应用，执行结果如下图所示：

apparmor的工作模式

apparmor有两种工作模式，enforcement和complain
enforcement 模式下，应用将严格遵循配置文件里列出的限制条件，未被授权的访问将被拒绝。
complain模式下，如果应用违反了配置文件里的限制条件，apparmor只是对程序的行为进行记录，不会拒绝访问。

apparmor的配置文件

apparmor的配置文件保存在/etc/apparmor.d/目录下，每个受apparmor控制的应用都有一个配置文件，并且配置文件的名字与应用的路径和名字强制关联。修改应用名或路径后，配置文件将会失效。
/bin/ping的配置为/etc/apparmor.d/bin.ping
/usr/sbin/cupsd的配置为/etc/apparmor.d/usr.sbin.cupsd

apparmor的适用场景

apparmor对已知应用的行为进行限制，控制其能够访问的部分资源，包括文件、目录、硬件和网络等；

apparmor是操作对象是主体。对于未知应用或未配置应用起不到任何作用；

apparmor适用于限制已知应用的权限，如果应用存在安全漏洞，由于其访问的资源有限，造成的后果有限；