Является ли устранение неполадок AppArmor с «teardown» небезопасным?
8 ответов
Вот что я думал (от https://wiki.ubuntu.com/DebuggingApparmor) - «режим жалобы». Это не затрагивает проблему относительных достоинств или последствий этого и других методов отладки.
При отладке также может оказаться полезным включить режим appareor в режим «жалобы». Это позволит вашему приложению нормально функционировать, пока доступ к отчетам о доступе к аудиториям не входит в профиль. Чтобы включить режим «жалобы», используйте:sudo aa-complain /path/to/bin
sudo aa-complain /usr/sbin/slapd
sudo aa-enforce /path/to/bin
sudo touch /etc/apparmor.d/disable/path.to.bin
sudo apparmor_parser -R /etc/apparmor.d/path.to.bin
При устранении неполадок, если что-то сломано, что появляется быть связанным с проблемой жутких прав («Хм, похоже, что контроль доступа, но это не проблема разрешений Unix или проблема с NFS или проблема с PAM, или сборщик контента и т. д. - возможно, это AppArmor.») Kees Cook указывает, что лучший курс действий - это проверка системных журналов. Примечательно, что за Kees Cook, «выход dmesg будет сообщать обо всех отказах AppArmor и будет включать в себя профиль».
-
1Вывод dmesg будет сообщать обо всех отказах AppArmor и будет включать в себя профиль. Нет необходимости когда-либо догадываться, отвечает ли AppArmor или нет. Либо было отклонение в журналах, и вы можете отключить этот профиль, или его не было. :) – Kees Cook 29 January 2011 в 07:56
-
2@Kees - Блестяще, спасибо. Поэтому я должен только догадываться, не знаю, что я делаю. Ха. Я уточню свой ответ. – belacqua 29 January 2011 в 08:13
-
3@Kees. Я думаю, что все еще есть шанс (в какой-то возможной вселенной), что ядро, подсистема LSM или сам AppArmor могут иметь поведение вне спецификации (т. Е. Ошибку). Который может быть протестирован с сервисным слезоточием ... нет, нет, даже в этом исчезающем маленьком месте возможной реальности, где это может произойти, вероятно, было бы лучше просто открыть отчет об ошибке. – belacqua 29 January 2011 в 08:38
-
4Обратите внимание, что в natty вы можете отключить определенный профиль с помощью команды aa-disable (1). – Steve Beattie 1 April 2011 в 07:10
Вот что я думал (от https://wiki.ubuntu.com/DebuggingApparmor) - «режим жалобы». Это не затрагивает проблему относительных достоинств или последствий этого и других методов отладки.
При отладке также может оказаться полезным включить режим appareor в режим «жалобы». Это позволит вашему приложению нормально функционировать, пока доступ к отчетам о доступе к аудиториям не входит в профиль. Чтобы включить режим «жалобы», используйте:sudo aa-complain /path/to/bin
, где «/ path / to / bin» - это абсолютный путь к двоичному файлу, как указано в разделе «profile = ...» записи «audit». Например: sudo aa-complain /usr/sbin/slapd
Чтобы снова включить режим принуждения, вместо этого используйте «aa-enforce»: sudo aa-enforce /path/to/bin
Чтобы отключить профиль: sudo touch /etc/apparmor.d/disable/path.to.bin
sudo apparmor_parser -R /etc/apparmor.d/path.to.bin
При устранении неполадок, если что-то сломано, что появляется быть связанным с проблемой жутких прав («Хм, похоже, что контроль доступа, но это не проблема разрешений Unix или проблема с NFS или проблема с PAM, а также средства для установки мультимедиа и т. д. - возможно, это AppArmor.») Kees Cook указывает, что лучший курс действий - это проверка системных журналов. Примечательно, что за Kees Cook, «выход dmesg будет сообщать обо всех отказах AppArmor и будет включать в себя профиль».
Вот что я думал (от https://wiki.ubuntu.com/DebuggingApparmor) - «режим жалобы». Это не затрагивает проблему относительных достоинств или последствий этого и других методов отладки.
При отладке также может оказаться полезным включить режим appareor в режим «жалобы». Это позволит вашему приложению нормально функционировать, пока доступ к отчетам о доступе к аудиториям не входит в профиль. Чтобы включить режим «жалобы», используйте:sudo aa-complain /path/to/bin
, где «/ path / to / bin» - это абсолютный путь к двоичному файлу, как указано в разделе «profile = ...» записи «audit». Например: sudo aa-complain /usr/sbin/slapd
Чтобы снова включить режим принуждения, вместо этого используйте «aa-enforce»: sudo aa-enforce /path/to/bin
Чтобы отключить профиль: sudo touch /etc/apparmor.d/disable/path.to.bin
sudo apparmor_parser -R /etc/apparmor.d/path.to.bin
При устранении неполадок, если что-то сломано, что появляется быть связанным с проблемой жутких прав («Хм, похоже, что контроль доступа, но это не проблема разрешений Unix или проблема с NFS или проблема с PAM, а также средства для установки мультимедиа и т. д. - возможно, это AppArmor.») Kees Cook указывает, что лучший курс действий - это проверка системных журналов. Примечательно, что за Kees Cook, «выход dmesg будет сообщать обо всех отказах AppArmor и будет включать в себя профиль».
Вот что я думал (от https://wiki.ubuntu.com/DebuggingApparmor) - «режим жалобы». Это не затрагивает проблему относительных достоинств или последствий этого и других методов отладки.
При отладке также может оказаться полезным включить режим appareor в режим «жалобы». Это позволит вашему приложению нормально функционировать, пока доступ к отчетам о доступе к аудиториям не входит в профиль. Чтобы включить режим «жалобы», используйте:sudo aa-complain /path/to/bin
, где «/ path / to / bin» - это абсолютный путь к двоичному файлу, как указано в разделе «profile = ...» записи «audit». Например: sudo aa-complain /usr/sbin/slapd
Чтобы снова включить режим принуждения, вместо этого используйте «aa-enforce»: sudo aa-enforce /path/to/bin
Чтобы отключить профиль: sudo touch /etc/apparmor.d/disable/path.to.bin
sudo apparmor_parser -R /etc/apparmor.d/path.to.bin
При устранении неполадок, если что-то сломано, что появляется быть связанным с проблемой жутких прав («Хм, похоже, что контроль доступа, но это не проблема разрешений Unix или проблема с NFS или проблема с PAM, а также средства для установки мультимедиа и т. д. - возможно, это AppArmor.») Kees Cook указывает, что лучший курс действий - это проверка системных журналов. Примечательно, что за Kees Cook, «выход dmesg будет сообщать обо всех отказах AppArmor и будет включать в себя профиль».
Вот что я думал (от https://wiki.ubuntu.com/DebuggingApparmor) - «режим жалобы». Это не затрагивает проблему относительных достоинств или последствий этого и других методов отладки.
При отладке также может оказаться полезным включить режим appareor в режим «жалобы». Это позволит вашему приложению нормально функционировать, пока доступ к отчетам о доступе к аудиториям не входит в профиль. Чтобы включить режим «жалобы», используйте:sudo aa-complain /path/to/bin
, где «/ path / to / bin» - это абсолютный путь к двоичному файлу, как указано в разделе «profile = ...» записи «audit». Например: sudo aa-complain /usr/sbin/slapd
Чтобы снова включить режим принуждения, вместо этого используйте «aa-enforce»: sudo aa-enforce /path/to/bin
Чтобы отключить профиль: sudo touch /etc/apparmor.d/disable/path.to.bin
sudo apparmor_parser -R /etc/apparmor.d/path.to.bin
При устранении неполадок, если что-то сломано, что появляется быть связанным с проблемой жутких прав («Хм, похоже, что контроль доступа, но это не проблема разрешений Unix или проблема с NFS или проблема с PAM, а также средства для установки мультимедиа и т. д. - возможно, это AppArmor.») Kees Cook указывает, что лучший курс действий - это проверка системных журналов. Примечательно, что за Kees Cook, «выход dmesg будет сообщать обо всех отказах AppArmor и будет включать в себя профиль».
Вот что я думал (от https://wiki.ubuntu.com/DebuggingApparmor) - «режим жалобы». Это не затрагивает проблему относительных достоинств или последствий этого и других методов отладки.
При отладке также может оказаться полезным включить режим appareor в режим «жалобы». Это позволит вашему приложению нормально функционировать, пока доступ к отчетам о доступе к аудиториям не входит в профиль. Чтобы включить режим «жалобы», используйте:sudo aa-complain /path/to/bin
, где «/ path / to / bin» - это абсолютный путь к двоичному файлу, как указано в разделе «profile = ...» записи «audit». Например: sudo aa-complain /usr/sbin/slapd
Чтобы снова включить режим принуждения, вместо этого используйте «aa-enforce»: sudo aa-enforce /path/to/bin
Чтобы отключить профиль: sudo touch /etc/apparmor.d/disable/path.to.bin
sudo apparmor_parser -R /etc/apparmor.d/path.to.bin
При устранении неполадок, если что-то сломано, что появляется быть связанным с проблемой жутких прав («Хм, похоже, что контроль доступа, но это не проблема разрешений Unix или проблема с NFS или проблема с PAM, или сборщик контента и т. д. - возможно, это AppArmor.») Kees Cook указывает, что лучший курс действий - это проверка системных журналов. Примечательно, что за Kees Cook, «выход dmesg будет сообщать обо всех отказах AppArmor и будет включать в себя профиль».
Вот что я думал (от https://wiki.ubuntu.com/DebuggingApparmor) - «режим жалобы». Это не затрагивает проблему относительных достоинств или последствий этого и других методов отладки.
При отладке также может оказаться полезным включить режим appareor в режим «жалобы». Это позволит вашему приложению нормально функционировать, пока доступ к отчетам о доступе к аудиториям не входит в профиль. Чтобы включить режим «жалобы», используйте:sudo aa-complain /path/to/bin
, где «/ path / to / bin» - это абсолютный путь к двоичному файлу, как указано в разделе «profile = ...» записи «audit». Например: sudo aa-complain /usr/sbin/slapd
Чтобы снова включить режим принуждения, вместо этого используйте «aa-enforce»: sudo aa-enforce /path/to/bin
Чтобы отключить профиль: sudo touch /etc/apparmor.d/disable/path.to.bin
sudo apparmor_parser -R /etc/apparmor.d/path.to.bin
При устранении неполадок, если что-то сломано, что появляется быть связанным с проблемой жутких прав («Хм, похоже, что контроль доступа, но это не проблема разрешений Unix или проблема с NFS или проблема с PAM, а также средства для установки мультимедиа и т. д. - возможно, это AppArmor.») Kees Cook указывает, что лучший курс действий - это проверка системных журналов. Примечательно, что за Kees Cook, «выход dmesg будет сообщать обо всех отказах AppArmor и будет включать в себя профиль».
Вот что я думал (от https://wiki.ubuntu.com/DebuggingApparmor) - «режим жалобы». Это не затрагивает проблему относительных достоинств или последствий этого и других методов отладки.
При отладке также может оказаться полезным включить режим appareor в режим «жалобы». Это позволит вашему приложению нормально функционировать, пока доступ к отчетам о доступе к аудиториям не входит в профиль. Чтобы включить режим «жалобы», используйте:sudo aa-complain /path/to/bin
, где «/ path / to / bin» - это абсолютный путь к двоичному файлу, как указано в разделе «profile = ...» записи «audit». Например: sudo aa-complain /usr/sbin/slapd
Чтобы снова включить режим принуждения, вместо этого используйте «aa-enforce»: sudo aa-enforce /path/to/bin
Чтобы отключить профиль: sudo touch /etc/apparmor.d/disable/path.to.bin
sudo apparmor_parser -R /etc/apparmor.d/path.to.bin
При устранении неполадок, если что-то сломано, что появляется быть связанным с проблемой жутких прав («Хм, похоже, что контроль доступа, но это не проблема разрешений Unix или проблема с NFS или проблема с PAM, а также средства для установки мультимедиа и т. д. - возможно, это AppArmor.») Kees Cook указывает, что лучший курс действий - это проверка системных журналов. Примечательно, что за Kees Cook, «выход dmesg будет сообщать обо всех отказах AppArmor и будет включать в себя профиль».