enforceやcomplainのモードに多くのプロファイルが追加されています。complainモードの中にある「syslog-ng」のプロファイルを操作してみます。syslog-ngは、「Syslog-ng」というrsyslogと同じログ収集のソフトウエアです。Ubuntu Server 16.04 LTSには、Syslog-ngをインストールされていないので、プロファイルのモードを変更しても何も変わりません。
syslog-ngのプロファイルをenforceモードに変更します。次のように、「aa-enforce」コマンドを実行してください。syslog-ngのプロファイルは、「/etc/apparmor.d/sbin.syslog-ng」として用意されているので、それを引数に指定します。
|
1 |
$ sudo aa-enforce /etc/apparmor.d/sbin.syslog-ng |
「Setting /etc/apparmor.d/sbin.syslog-ng to enforce mode.」と表示ささればOKです。aa-statusコマンドで、AppArmorの状態を確認してみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
$ sudo aa-status apparmor module is loaded. 53 profiles are loaded. 17 profiles are in enforce mode. (略) lxc-container-default-with-nesting syslog-ng 36 profiles are in complain mode. (略) klogd syslogd 1 processes have profiles defined. 1 processes are in enforce mode. (略) |
のように、syslog-ngのプロファイルがenforceモードになりました。
今度は、syslog-ngのプロファイルを無効します。次の「aa-disable」コマンドを実行してください。
|
1 |
$ sudo aa-disable /etc/apparmor.d/sbin.syslog-ng |
「Disabling /etc/apparmor.d/sbin.syslog-ng.」と表示されればOKです。先ほどと同じように、aa-statusコマンドでAppArmorの状態を表示して、syslog-ngのプロファイルがなくなっていることを確認してください。
最後に、「aa-complain」コマンドを実行してcomplainモードに戻します。
|
1 |
$ sudo aa-complain /etc/apparmor.d/sbin.syslog-ng |
「Setting /etc/apparmor.d/sbin.syslog-ng to complain mode.」が表示ささればOKです。