我知道有一种更安全、更有针对性的方法来解决 AppArmor 对问题的可能贡献,而不是完全停止服务并拆除 AppArmor 配置文件。有人可以给我详细信息,以及更好方法的优点吗?
这是我想到的(来自https://wiki.ubuntu.com/DebuggingApparmor)—— “抱怨模式”。这并没有解决相对于其他调试方法的相对优点或后果的问题。
调试时,将 apparmor 置于“抱怨”模式也可能很有用。这将允许您的应用程序在 apparmor 报告不在配置文件中的访问时正常运行。要启用“投诉”模式,请使用:
Run Code Online (Sandbox Code Playgroud)sudo aa-complain /path/to/bin其中“/path/to/bin”是二进制文件的绝对路径,如“audit”条目的“profile=...”部分所述。例如:
Run Code Online (Sandbox Code Playgroud)sudo aa-complain /usr/sbin/slapd要重新启用强制模式,请改用“aa-enforce”:
Run Code Online (Sandbox Code Playgroud)sudo aa-enforce /path/to/bin要禁用配置文件:
Run Code Online (Sandbox Code Playgroud)sudo touch /etc/apparmor.d/disable/path.to.bin sudo apparmor_parser -R /etc/apparmor.d/path.to.bin
在进行故障排除时,如果出现似乎与令人毛骨悚然的权限问题相关的问题(“嗯,看起来像访问控制,但它不是 Unix 权限问题、NFS 问题、PAM 问题或媒体安装错误等——也许是 AppArmor。'),Kees Cook 指出,最好的做法是检查您的系统日志。值得注意的是,根据 Kees Cook 的说法,“输出dmesg将报告所有 AppArmor 拒绝,并将包括配置文件。”
| 归档时间: |
|
| 查看次数: |
2047 次 |
| 最近记录: |