【摘要】:AppArmor的策略和SELinux类似,也是二进制格式的。.replace这个文件用于加载策略,和.load的区别是,.load是添加,.replace是替换。.remove这个文件用于删除策略。删除以域为单位。profiles这是一个只读文件,虽然文件允许位标记可写,但是内核根本没有实现此文件的写函数!policy这是一个目录,其下又有两个子目录:1)namespaces其下的文件或目录与名字空间有关。features这是一个目录,其下有子目录和文件,全部为只读接口,通过它们可以得到当前系统支持的AppArmor特性 [22] 。
同Tomoyo一样,AppArmor也使用了securityfs,相关的目录通常在/sys/kernel/security/ apparmor。此目录下包含4个文件和两个子目录。下面描述它们的用法。
(1).load
这个文件用于加载策略。AppArmor的策略和SELinux类似,也是二进制格式的。用户需要预先用一个工具(apparmor_parser)将用户友好的文本格式的策略文件编译为内核更易处理的二进制格式策略文件,然后再通过.load文件载入内核。
(2).replace
这个文件用于加载策略,和.load的区别是,.load是添加,.replace是替换。
(3).remove
这个文件用于删除策略。删除以域为单位。
(4)profiles
这是一个只读文件,虽然文件允许位标记可写,但是内核根本没有实现此文件的写函数!通过它可以读出所有策略。
(5)policy(www.xing528.com)
这是一个目录,其下又有两个子目录:
1)namespaces
其下的文件或目录与名字空间有关。
2)profiles
其下的文件或目录与域有关。
(6)features
这是一个目录,其下有子目录和文件,全部为只读接口,通过它们可以得到当前系统支持的AppArmor特性 [22] 。举个例子:
当前系统对文件相关的操作许可控制包括:create、read、write、exec、append、mmap_exec link、lock。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。