带有通配符的 apparmor 通配符配置文件

tag-icon tag-icon ubuntu wildcards apparmor
带有通配符的 apparmor 通配符配置文件

我正在运行 Ubuntu 16.04 和 apparmor 2.10.95-0ubuntu2.7。我经常需要对质量可疑的软件进行评论。我想使用 apparmor 来保护我的系统免受伤害。

我创建了一个 apparmor 通配符配置文件,如下所示:

/home/username/testing/** {
  somerules
}

不幸的是,这个配置文件没有任何作用。一旦我输入不带通配符的确切路径,它就会按预期工作:

/home/username/testing/client42/executable {
  somerules
}

在联机帮助页上,配置文件似乎支持通配符:

PROFILE = ( PROFILE HEAD ) [ ATTACHMENT SPECIFICATION ] [ PROFILE FLAG CONDS ] '{' ( RULES )* '}'
PROFILE HEAD = [ 'profile' ] FILEGLOB | 'profile' PROFILE NAME

这篇维基文章也这么说。甚至还有一个用户报告成功

我缺少什么?
配置文件中的通配符是否需要在配置文件中显式启用?
Ubuntu 版本中是否禁用了通配符?

答案1

今天解决这个问题,我发现通配符配置文件在重新启动后可以按预期工作。看起来像将配置文件设置为强制模式aa-enforce /etc/apparmor.d/<profile>或重新加载配置文件,apparmor_parser -r /etc/apparmor.d/<profile>如所述这里这里对于通配符配置文件来说是不够的。我不确定通过重新加载服务是否systemctl reload apparmor足以激活通配符配置文件,但系统重新启动肯定可以。

相关内容