Apparmor Profilaufbau: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „Mit dem Befehl #include können andere (grundlegende) Regelsätze eingebunden werden. *In allen Profilen ist grundsätzlich die Datei /etc/apparmor.d/tunables…“) |
|||
| Zeile 1: | Zeile 1: | ||
| − | Mit dem Befehl #include können andere (grundlegende) Regelsätze eingebunden werden. | + | <pre> |
| + | #include <tunables/global> | ||
| + | |||
| + | /pfad/zur/anwendung { | ||
| + | #include <abstractions/base> | ||
| + | [...] | ||
| + | capability sys_admin, | ||
| + | [...] | ||
| + | # Kommentar | ||
| + | /usr/lib/gconv/** r, | ||
| + | /proc/meminfo r, | ||
| + | /bin/basename rmix, | ||
| + | [...] | ||
| + | } | ||
| + | </pre> | ||
| + | |||
| + | *Mit dem Befehl #include können andere (grundlegende) Regelsätze eingebunden werden. | ||
*In allen Profilen ist grundsätzlich die Datei /etc/apparmor.d/tunables/global mit #include eingebunden, die wiederum weitere Dateien aus diesem Verzeichnis enthält, in denen u.a. Variablen wie @{HOME} (für alle Homeverzeichnisse) oder @{PROC} (für das Verzeichnis /proc/) definiert sind. | *In allen Profilen ist grundsätzlich die Datei /etc/apparmor.d/tunables/global mit #include eingebunden, die wiederum weitere Dateien aus diesem Verzeichnis enthält, in denen u.a. Variablen wie @{HOME} (für alle Homeverzeichnisse) oder @{PROC} (für das Verzeichnis /proc/) definiert sind. | ||
Version vom 12. Januar 2023, 07:12 Uhr
#include <tunables/global>
/pfad/zur/anwendung {
#include <abstractions/base>
[...]
capability sys_admin,
[...]
# Kommentar
/usr/lib/gconv/** r,
/proc/meminfo r,
/bin/basename rmix,
[...]
}
- Mit dem Befehl #include können andere (grundlegende) Regelsätze eingebunden werden.
- In allen Profilen ist grundsätzlich die Datei /etc/apparmor.d/tunables/global mit #include eingebunden, die wiederum weitere Dateien aus diesem Verzeichnis enthält, in denen u.a. Variablen wie @{HOME} (für alle Homeverzeichnisse) oder @{PROC} (für das Verzeichnis /proc/) definiert sind.
- Nach der Angabe des Pfades zur Anwendung, für die das Profil erstellt ist, stehen sämtliche Regeln innerhalb von geschweiften Klammern. Jede Zeile endet mit einem Komma - mit Ausnahme von Kommentaren, #include-Anweisungen, mit denen sogenannten abstractions eingebunden werden, und Kind-Profile (näheres dazu weiter unten).
- Mit dem Befehl capability XYZ werden grundlegende Eigenschaften/Merkmale definiert. Siehe dazu die entsprechende Manpage 🇬🇧 sowie Capability rules 🇬🇧.
- /PFAD/ZU/DATEI OPTION setzt die Berechtigungen für das jeweilige Verzeichnis bzw. die jeweilige Hilfsanwendung. Dabei ist die Verwendung des Jokers * erlaubt, zwei ** bedeuten "inkl. aller Unterverzeichnisse" (extended globbing). Beispiele dazu: