誰かがインストールフォルダのバインドに関連するAppArmorの意味を簡単に説明しますか?
私が理解したのは、文書を読んだ後(1、2、サム、4) - はい、私は3.8カーネルでUbuntu 12.04を使用しています - ポリシー「パスに追加」(つまり、呼び出し時にプロセスになるプログラムへのパス)。
それでは、そのフォルダがあり、ここにバインドマウントが/home/joe/Public
あるとしましょう。/var/www/html/joe
元の素材を含むプロファイルを作成する必要がありますか?そしてバインドマウント、1つ(いずれか)、または私が実行または考慮する必要がある他のものはありますか?
プログラムがあるとします。設定ファイル/規則でそのプログラムに言及し、Joeがそれを実行することにした/var/www/html/joe/foo
場合でも、制限は引き続き適用されますか?/var/www/html/joe/foo
/home/joe/Public/foo
リンクやその他のポインタもありがとうございます。
ベストアンサー1
明確な参考資料もなく、直接的な経験もないので、確かな答えではありません。
AppArmorはパスベースです(シンボリックリンクを解決した後)。パスはマウントポイントを考慮しません。 AppArmorルールは、/var/www/html/joe/foo
このパスを介してアクセスされるファイルに適用されます。パスが/home/joe/Public/foo
同じファイルを指定する場合がありますが、パスが異なるため、AppArmorルールは/var/www/html/joe/foo
適用されません。
すべてのバンドルマウント位置をカバーするルールを定義する必要があります。ただし、ルールを繰り返す必要はありません。 AppArmorに、場所が次のようになることを知らせることができます。ニックネーム他のもののため。
alias /home/joe/Public -> /var/www/html/joe
ワイルドカードを使用してすべてのユーザーに1つのエイリアスを自動的に適用することはできないと思います。これを行うには、変数を使用してルールを表現できます。
@{WWW_DIRS} = /home/*/Public /var/www/html/*
…
@{WWW_DIRS}/foo …