まずは、インストールした直後のUbuntu Server 16.04 LTSでのAppArmorの状態を確認します。次のように「aa-status」コマンドを実行してください。「[sudo] taro のパスワード:」のように表示されたら、自分のパスワードを入力します。
|
1 |
$ sudo aa-status |
次のようにAppArmorの状態が表示されます。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
apparmor module is loaded. 13 profiles are loaded. 13 profiles are in enforce mode. /sbin/dhclient /usr/bin/lxc-start /usr/lib/NetworkManager/nm-dhcp-client.action /usr/lib/NetworkManager/nm-dhcp-helper /usr/lib/connman/scripts/dhclient-script /usr/lib/lxd/lxd-bridge-proxy /usr/lib/snapd/snap-confine /usr/lib/snapd/snap-confine//mount-namespace-capture-helper /usr/sbin/tcpdump lxc-container-default lxc-container-default-cgns lxc-container-default-with-mounting lxc-container-default-with-nesting 0 profiles are in complain mode. 1 processes have profiles defined. 1 processes are in enforce mode. /sbin/dhclient (1007) 0 processes are in complain mode. 0 processes are unconfined but have a profile defined. |
ポイントとなる部分は「13 profiles are loaded.」「13 profiles are in enforce mode.」「0 profiles are in complain mode.」「1 processes are in enforce mode.」「0 processes are in complain mode.」の五つです。これらは、13個のプロファイルが読み込まれていること、13個のプロファイルが「enforce」モードになっていること、「complain」モードになっているプロファイルがないこと、一つのプロセスがenforceモードになっていること、complainモードのプロセスがないことを表しています。「13 profiles are in enforce mode.」と「1 processes are in enforce mode.」の下には、enforceモードになっているプロファイルの名称やプロセスを表示しています。
プロファイルは、AppArmorでアクセス制限をかけるための定義ファイルです。プログラムや機能ごとに用意されていて、「/etc/apparmor.d」ディレクトリーの下に保存されています。ここでは、プロファイルの書き方を説明しません。詳しくはこちらのマニュアルを読んでください。
enforceは、プロファイルに書かれた定義に違反した場合にアクセスが制限され、警告が記録されるモードです。一方、complainは、違反してもアクセスを制限せずに警告のみ記録するモードです。complainモードは、新しく作成した定義ファイルが正しいかどうかの確認に用いるとよいでしょう。