AppArmor – Eternal Center

[内容] AppArmor 的设置

Mingyu Zhu — Thu, 28 Jul 2022 07:12:28 +0000

内容一：显示 AppArmor 保护进程的情况

1.1 显示所有 AppArmor 保护进程的情况

# aa-status

1.2 显示所有正在运行并监听网络但是没有被 AppArmor 保护的进程

# aa-unconfined

内容二：设置 AppArmor 保护进程的策略

2.1 将所有 AppArmor 进程规则设置为 enforce 模式

# aa-enforce /etc/apparmor.d/*

2.2 将所有 AppArmor 进程规则设置为 complain 模式

# aa-complain /etc/apparmor.d/*

2.3 将所有 AppArmor 进程规则设置为 disable 模式

# aa-disable /etc/apparmor.d/*

[内容] audit 常用的监控规则

Mingyu Zhu — Thu, 28 Jul 2022 06:22:23 +0000

内容一：监控 SELinux 配置文件

1.1 在 audit 添加监控 SELinux 配置文件的规则

# vim /etc/audit/rules.d/audit.rules

添加以下内容：

......
-w /etc/selinux/ -p wa -k MAC-policy
-w /usr/share/selinux/ -p wa -k MAC-policy

1.2 让添加的监控 SELinux 配置文件的规则生效

# service auditd restart

1.3 确认添加的监控 SELinux 配置文件的规则已生效

# auditctl -l | grep -i selinux

内容二：监控 AppArmor 配置文件

2.1 在 audit 添加监控 AppArmor 配置文件的规则

# vim /etc/audit/rules.d/audit.rules

添加以下内容：

......
-w /etc/apparmor/ -p wa -k MAC-policy
-w /etc/apparmor.d/ -p wa -k MAC-policy

2.2 让添加的监控 AppArmor 配置文件的规则生效

# service auditd restart

2.3 确认添加的监控 AppArmor 配置文件的规则已生效

# auditctl -l | grep -i apparmor

[CONTENT] The difference between SELinux and AppArmor

Mingyu Zhu — Mon, 25 Jul 2022 07:57:01 +0000

Selinux

1) Default for Rocky Linux, AlmaLinux, CentOS, Red Hat
2) Designed to protect the entire operating system

AppArmor

1) Default for openSUSE, Debian, Ubuntu, SLE
2) Designed to protect specific applications, limit the resources that particular application can use
3) Uses path names