有没有办法在 apparmor 本地覆盖文件中覆盖帽子/儿童配置文件?

有没有办法在 apparmor 本地覆盖文件中覆盖帽子/儿童配置文件?

随 ejabberd 16.04 一起分发的 apparmor 配置文件导致在执行 ejabberdctl 脚本时将审计条目写入系统日志,类似于以下内容。

Dec 28 13:44:09 xxx kernel: [846824.223510] audit: type=1400 audit(1482954249.017:51607): apparmor="DENIED" operation="file_mmap" profile="/usr/sbin/ejabberdctl//su" name="/bin/su" pid=26155 comm="su" requested_mask="m" denied_mask="m" fsuid=0 ouid=0

如果我修改 /etc/apparmor.d/usr.sbin.ejabberdctl 中 apparmor 配置文件内的 su hat:

/bin/su r,

到:

/bin/su rm,

然后重新加载配置文件,脚本不再出现段错误并按预期运行。我不需要修改分布式配置文件,而是想知道是否可以对 /etc/apparmor.d/local/usr.sbin.ejabberdctl 进行此更改。当我在对分布式配置文件进行更改之前尝试此操作时,我收到此错误。

# apparmor_parser -r /etc/apparmor.d/usr.sbin.ejabberdctl
Multiple definitions for hat su in profile (null) exist,bailing out.

相关内容