跳到内容跳到页面导航:上一页 [access key p]/下一页 [access key n]
documentation.suse.com / SUSE Linux Enterprise Desktop 文档 / 安全和强化指南 / 通过 AppArmor 限制特权 / 使用 YaST 构建和管理配置文件
适用范围 SUSE Linux Enterprise Desktop 15 SP6

34 使用 YaST 构建和管理配置文件

YaST 提供了用于构建配置文件以及管理 AppArmor® 配置文件的基本途径。它提供了两个界面:一个图形界面和一个基于文本的界面。基于文本的界面消耗的资源和带宽更少,因此,需要进行远程管理或者当本地图形环境不够方便时,基于文本的界面是更好的选择。尽管这两个界面的外观不同,但它们以类似的方式提供相同的功能。另一种方法是使用 AppArmor 命令,这些命令可以从终端窗口或通过远程连接控制 AppArmor第 35 章 “从命令行构建配置文件中介绍了命令行工具。

从主菜单中启动 YaST,并在出现提示时输入 root 口令。或者,通过打开终端窗口,以 root 身份登录,然后输入 yast2(表示图形模式)或 yast(表示基于文本的模式)来启动 YaST。

安全和用户部分显示了一个 AppArmor 配置图标。单击该图标可启动 AppArmor YaST 模块。

34.1 手动添加配置文件

AppArmor 允许您通过手动向配置文件添加项的方式来创建 AppArmor 配置文件。选择要为其创建配置文件的应用程序,然后添加项。

  1. 启动 YaST,选择 AppArmor 配置,然后在主窗口中单击手动添加配置文件

  2. 浏览系统以找到要创建配置文件的应用程序。

  3. 找到应用程序后,选择它并单击打开AppArmor 配置文件对话框窗口中将出现一个空的基本配置文件。

  4. AppArmor 配置文件对话框中,通过单击对应的按钮并参考第 34.2.1 节 “添加项”第 34.2.2 节 “编辑项”第 34.2.3 节 “删除项”来添加、编辑或删除 AppArmor 配置文件项。

  5. 完成后,单击完成

34.2 编辑配置文件

提示
提示

YaST 提供针对 AppArmor 配置文件的基本操作,例如创建或编辑配置文件。不过,最直接的编辑 AppArmor 配置文件的方式是使用 vi 这样的文本编辑器:

> sudo vi /etc/apparmor.d/usr.sbin.httpd2-prefork
提示
提示

vi 编辑器还包含语法(错误)高亮显示和语法错误高亮显示功能,当编辑后的 AppArmor 配置文件存在语法错误时,它会以视觉方式发出警告。

AppArmor 允许您通过添加、编辑或删除项来手动编辑 AppArmor 配置文件。要编辑配置文件,请执行以下操作:

  1. 启动 YaST,选择 AppArmor 配置,然后在主窗口中单击管理现有配置文件

    Choose the profile to edit
  2. 在已构建配置文件的应用程序列表中,选择要编辑的配置文件。

  3. 单击编辑。此时 AppArmor 配置文件对话框窗口会显示配置文件。

    AppArmor profile dialog
  4. AppArmor 配置文件对话框窗口中,通过单击对应的按钮并参考第 34.2.1 节 “添加项”第 34.2.2 节 “编辑项”第 34.2.3 节 “删除项”来添加、编辑或删除 AppArmor 配置文件项。

  5. 完成后,单击完成

  6. 在出现的弹出窗口中,单击以确认对配置文件所做的更改,然后重新加载 AppArmor 配置文件集。

提示
提示:AppArmor 中的语法检查

AppArmor 包含语法检查功能,如果您尝试使用 YaST AppArmor 工具处理的配置文件中存在任何语法错误,它会发出通知。如果发生错误,请以 root 身份手动编辑配置文件,然后使用 systemctl reload apparmor 重新加载配置文件集。

34.2.1 添加项

AppArmor 配置文件窗口中的添加项按钮会列出您可以添加到 AppArmor 配置文件的项类型。

在列表中选择以下选项之一:

文件

在弹出窗口中,指定文件的绝对路径,包括允许的访问类型。完成后,单击确定

必要时,您可以使用通配。有关通配的详细信息,请参见第 32.6 节 “配置文件名称、标志、路径和通配”。有关文件访问权限的详细信息,请参见第 32.7 节 “文件权限访问模式”

Select a file to add
目录

在弹出窗口中,指定目录的绝对路径,包括允许的访问类型。必要时,您可以使用通配。完成后,单击确定

有关通配的详细信息,请参见第 32.6 节 “配置文件名称、标志、路径和通配”。有关文件访问权限的详细信息,请参见第 32.7 节 “文件权限访问模式”

Select a directory to add
网络规则

在弹出窗口中,选择适当的网络系列和套接字类型。有关更多信息,请参见第 32.5 节 “网络访问控制”

Select capabilities
功能

在对话窗口中,选择适当的功能。这些语句用于启用 32 个 POSIX.1e 功能。有关功能的详细信息,请参见第 32.4 节 “功能项 (POSIX.1e)”。完成选择后,单击确定

Select capabilities
Include 文件

在弹出窗口中,浏览到要用作 include 的文件。Include 是可提取其他 AppArmor 配置文件的组件以简化配置文件的指令。有关更多信息,请参见第 32.3 节 “Include 语句”

帽子

在弹出窗口中,指定要添加到当前配置文件的子配置文件(帽子)的名称,然后单击创建 Hat。有关更多信息,请参见第 36 章 “使用 ChangeHat 构建 Web 应用程序的配置文件

enter subprofile name in popup window

34.2.2 编辑项

选择编辑项时,会打开一个弹出窗口。请在此窗口中编辑选定的项。

在弹出窗口中,编辑需要修改的项。必要时,您可以使用通配。完成后,单击确定

有关通配的详细信息,请参见第 32.6 节 “配置文件名称、标志、路径和通配”。有关访问权限的信息,请参见第 32.7 节 “文件权限访问模式”

34.2.3 删除项

要删除给定配置文件中的项,请选择删除项AppArmor 将去除选定的配置文件项。

34.3 删除配置文件

AppArmor 允许您手动删除 AppArmor 配置文件。只需选择要删除其配置文件的应用程序,然后按如下所示删除:

  1. 启动 YaST,选择 AppArmor 配置,然后在主窗口中单击管理现有配置文件

  2. 选择要删除的配置文件。

  3. 单击删除

  4. 在打开的弹出窗口中,单击以删除该配置文件,然后重新加载 AppArmor 配置文件集。

34.4 管理 AppArmor

可以通过启用或禁用 AppArmor 来更改其状态。启用 AppArmor 可保护您的系统抵御潜在的程序漏洞攻击。禁用 AppArmor 将解除对系统的保护,即使已设置了配置文件。要更改 AppArmor 的状态,请启动 YaST,选择 AppArmor 配置,然后在主窗口中单击设置

The AppArmor control panel

要更改 AppArmor 的状态,请按照第 34.4.1 节 “更改 AppArmor 状态”中所述继续操作。要更改单个配置文件的模式,请按照第 34.4.2 节 “更改单个配置文件的模式”中所述继续操作。

34.4.1 更改 AppArmor 状态

更改 AppArmor 的状态时,请将其设置为已启用或已禁用。启用 AppArmor 后,系统将安装并运行 AppArmor,并强制执行其安全策略。

  1. 启动 YaST,选择 AppArmor 配置,然后在主窗口中单击设置

  2. 选中启用 AppArmor 以启用 AppArmor,或取消选中该选项以禁用 AppArmor

  3. 单击 AppArmor 配置窗口中的完成

提示
提示

对于正在运行的程序,一律需要将其重启动才能应用配置文件。

34.4.2 更改单个配置文件的模式

AppArmor 可在两种不同的模式下应用配置文件。在控诉模式下,会检测对 AppArmor 配置文件规则的违规,例如构建了配置文件的程序访问配置文件不允许的文件。冲突是允许的,但也会被记录。使用此模式便于开发配置文件,AppArmor 工具用其来生成配置文件。在强制模式下加载配置文件会强制执行该配置文件中定义的策略,并在 rsyslogd(或者 auditdjournalctl,具体取决于系统配置)中报告策略违规尝试。

您可在配置文件模式配置对话框中查看和编辑当前加载的 AppArmor 配置文件的模式。在开发配置文件期间,可以使用此功能来确定系统的状态。在系统性配置文件构建(请参见第 35.7.2 节 “系统性配置文件构建”)期间,您可以使用此工具来调整和监控您正在探测其行为的配置文件的范围。

要编辑应用程序的配置文件模式,请执行以下操作:

  1. 启动 YaST,选择 AppArmor 配置,然后在主窗口中单击设置

  2. 配置配置文件模式部分,选择配置

  3. 选择要更改其模式的配置文件。

  4. 选择转换模式以将此配置文件设置为控诉模式或强制模式。

  5. 应用您的设置,然后单击完成退出 YaST。

要更改所有配置文件的模式,请使用全部设置为强制全部设置为控诉

提示
提示:列出可用的配置文件

默认只会列出活动的配置文件(系统上安装了其匹配应用程序的配置文件)。要在安装相关应用程序之前设置配置文件,请单击显示所有配置文件,然后从显示的列表中选择要配置的配置文件。