AppArmorプロファイルをプロセスとどのように一致させることができますか? 1つはパスベースのようです(たとえば、実行/sbin/dhclient時に適用される設定ファイル)。しかし、これは設定ファイルに存在するの/sbin/dhclientですか、それとも名前が付けられているのですか?/sbin/dhclientsbin.dhclientsbin.dhclient
また、パスベース以外のプロファイルの一致(docker-defaultプロファイルなど)の場合、AppArmorはプロファイルを適用するプロセスをどのように知ることができますか?
ベストアンサー1
AppArmor 構成ファイルがコマンドの間違ったパスをファイル名として使用するのは単純なルールです。 ~からman 7 apparmor:
伝統的に、設定ファイルはfilenameの下のファイルに保存されており、設定ファイルをより簡単に管理できるように、パス名(rootを除く)でinを変更することが
/etc/apparmor.d/慣例です(たとえば、設定ファイル名など)。/.//usr/sbin/nscdusr.sbin.nscd
プロファイル名にファイル glob が含まれている場合、その glob と一致するファイルに適用されます。 ~からAppArmorコア戦略リファレンス:
AppArmorは添付仕様を使用して、構成ファイルに添付する実行可能ファイルを決定します。代替プロファイル名が指定されていない場合、添付仕様はプロファイル名としても使用されます。添付仕様が指定されていない場合は、プロファイル名を指定する必要があります。
AppArmorでは、プロファイル名が非常に重要です。ユーザーがプロファイルルールセットに関連付けることができる名前を提供するだけでなく、タグ付け、ipcにも使用され、名前が添付仕様の場合は、プロファイルが添付される実行可能ファイルを決定します。