39 使用 pam_apparmor 限制用户 #

AppArmor 配置文件将应用于可执行程序；如果该程序的某个部分所需的访问权限不同于其他部分，该程序可以通过 change_hat 将帽子更改为另一角色（也称为子配置文件）。pam_apparmor PAM 模块允许应用程序基于组名、用户名或默认配置文件将已通过身份验证的用户限制到子配置文件。要实现此目的，需将 pam_apparmor 注册为 PAM 会话模块。

默认不会安装 pam_apparmor 软件包，您可以使用 YaST 或 zypper 来安装。安装该软件包后，可以在 /usr/share/doc/packages/pam_apparmor/README 中找到有关如何设置和配置 pam_apparmor 的细节。有关 PAM 的细节，请参见第 2 章 “通过 PAM 进行身份验证”。