我正在尝试在具有定制内核的远程托管 Xen 服务器上使用 AppArmor。
AppArmor 似乎正在运行,但运行不正确。例如,如果我以 root 身份运行以下命令:
# aa-status
apparmor module is loaded.
You do not have enough privilege to read the profile set.
任何关于发生了什么事情的想法都会有所帮助。谢谢!
这是我的内核选项:
# grep -i APPARMOR /boot/config-3.6.11-xen
CONFIG_SECURITY_APPARMOR=y
CONFIG_SECURITY_APPARMOR_BOOTPARAM_VALUE=1
CONFIG_DEFAULT_SECURITY_APPARMOR=y
CONFIG_DEFAULT_SECURITY="apparmor"
dmesg 显示 AppArmor 已启动:
# dmesg | grep AppArmor
AppArmor: AppArmor initialized
AppArmor: AppArmor Filesystem Enabled
/sys 中的 AppArmor 挂钩及其对应的值:
(注意:没有 /sys/kernel/security/apparmor/profiles)
# for x in $(find /sys -type f | grep apparmor) ; do echo -n "$x - "; cat $x ; done
/sys/kernel/security/apparmor/features/rlimit/mask - cpu fsize data stack core rss nproc nofile memlock as locks sigpending msgqueue nice rtprio rttime
/sys/kernel/security/apparmor/features/capability - 0xffffff
/sys/kernel/security/apparmor/features/file/mask - create read write exec append mmap_exec link lock
/sys/kernel/security/apparmor/features/domain/change_profile - yes
/sys/kernel/security/apparmor/features/domain/change_onexec - yes
/sys/kernel/security/apparmor/features/domain/change_hatv - yes
/sys/kernel/security/apparmor/features/domain/change_hat - yes
/sys/kernel/security/apparmor/.remove - cat: /sys/kernel/security/apparmor/.remove: Invalid argument
/sys/kernel/security/apparmor/.replace - cat: /sys/kernel/security/apparmor/.replace: Invalid argument
/sys/kernel/security/apparmor/.load - cat: /sys/kernel/security/apparmor/.load: Invalid argument
/sys/module/apparmor/parameters/mode - enforce
/sys/module/apparmor/parameters/audit - normal
/sys/module/apparmor/parameters/debug - N
/sys/module/apparmor/parameters/paranoid_load - Y
/sys/module/apparmor/parameters/enabled - Y
/sys/module/apparmor/parameters/path_max - 8192
/sys/module/apparmor/parameters/logsyscall - N
/sys/module/apparmor/parameters/lock_policy - N
/sys/module/apparmor/parameters/audit_header - Y
我已经安装的用户空间软件包:
# dpkg -l apparmor*
Version Description
+++-===============================================-===============================================-==============================================================================================================
ii apparmor 2.7.102-0ubuntu3.7 User-space parser utility for AppArmor
ii apparmor-notify 2.7.102-0ubuntu3.7 AppArmor notification system
ii apparmor-profiles 2.7.102-0ubuntu3.7 Profiles for AppArmor Security policies
ii apparmor-utils 2.7.102-0ubuntu3.7 Utilities for controlling AppArmor
再次,如果有人知道它为什么不能正常工作,包括用户错误,请告诉我。据我所知,它看起来像是应该正在工作。
再次感谢您的指导。
答案1
我有同样的问题 ;)
只需从以下网址下载 apparmor 包即可:http://launchpad.net/apparmor/2.7/2.7.2/+download/apparmor-2.7.2.tar.gz
导航至:/apparmor-2.7.2/kernel-patches/3.1 < 这里有内核补丁。别担心 - 它们适用于 3.2.x 版本 ;)
修补内核,选择选项“启用 AppArmor 2.4 兼容性”(例如从 make nconfig/make menuconfig)。
编译并享受 apparmor 的完整功能
希望能帮助到你!
PS. 抱歉我的英语不好 - 这不是我的母语 :)