我目前正在重新设置on 的apparmor配置文件,我有点困惑。我上次使用这个时一定有过,如果我这样做了,那么关于 Firefox 我会得到Firefox 19.0.2Ubuntu 12.04Firefox 7.01apparmor_status
..profiles are in enforce mode.
/usr/lib/firefox/firefox{,*[^s][^h]}//browser_java
/usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk
/usr/lib/firefox/firefox{,*[^s][^h]}//sanitized_helper
..profiles are in complain mode
/usr/lib/firefox-7.0.1/firefox.sh
/usr/lib/firefox/firefox{,*[^s][^h]}
/usr/lib/firefox/firefox{,*[^s][^h]}//null-34
/usr/lib/firefox/firefox{,*[^s][^h]}//null-34//null-35
..processes are in complain mode.
/usr/lib/firefox/firefox{,*[^s][^h]} (3818)
/usr/lib/firefox/firefox{,*[^s][^h]} (17960)
/usr/lib/firefox/firefox{,*[^s][^h]} (21817)
/usr/lib/firefox/firefox{,*[^s][^h]}//null-34 (3819)
/usr/lib/firefox/firefox{,*[^s][^h]}//null-34//null-35 (3823)
现在,在目录中,/etc/apparmor.d/我与 Firefox 相关的配置文件是
usr.bin.firefox和usr.lib.firefox-7.0.1.firefox.sh。关于 firefox exec 本身在我的系统上的位置 -/usr/bin/firefox是一个 ie 的符号链接,/usr/lib/firefox/firefox.sh没有版本号。
这些处于强制模式的配置文件是否继承父配置文件并且尽管父配置文件处于抱怨状态但仍然处于强制模式?为什么表单状态中显示的配置文件/usr/lib/firefox/firefox不是 1/usr/lib/firefox/firefox-7.01`?
最后,我认为消息应该发送到/var/log/messages但这个文件对我来说并不存在,尽管进程处于抱怨模式一段时间......
答案1
这些是 Firefox 启动的进程的“宽松”配置文件。配置文件 sanitized_helpers 在 中定义/etc/apparmor.d/abstractions/ubuntu_helpers。/etc/apparmor.d/abstractions/ubuntu-browsers.d/
如果 firefox 配置文件包含以下内容,还有其他内容:
/path/to/executable cx,
然后使用子配置文件或本地配置文件来限制“可执行文件”。如果 Firefox 配置文件包含以下内容,则使用“可执行文件”的全局配置文件:
/path/to/executable px,
是的,现在不需要 Firefox 版本。
如果安装该apparmor-notify软件包,每当 apparmor 将某些内容记录到 kern.log 时,您都会收到桌面通知。方便调试配置文件。