AppArmor в Debian

SELinux довольно сложен в освоении для рядового пользователя, поэтому для контроля за некоторыми программами мы установим AppArmor, который несколько проще для понимания, но при этом так же довольно эффективен.
AppArmor по умолчанию установлен в Ubuntu. Чтобы добавить его в Debian необходимо выполнить несколько действий:

Устанавливаем саму систему, некоторые готовые профили и утилиты:

$ sudo apt-get install apparmor apparmor-profiles apparmor-utils

Включим AppArmor, для этого в консоли выполним несколько команд и перезагрузимся:

$ sudo perl -pi -e 's,GRUB_CMDLINE_LINUX="(.*)"$,GRUB_CMDLINE_LINUX="$1 apparmor=1 security=apparmor",' /etc/default/grub
$ sudo update-grub
$ sudo reboot

Проверим статус:

$ sudo aa-status

Вы должны увидеть примерно такой вывод:
apparmor module is loaded.
67 profiles are loaded.
32 profiles are in enforce mode.
/usr/bin/evince
/usr/bin/evince-previewer
/usr/bin/evince-previewer//sanitized_helper
/usr/bin/evince-thumbnailer
/usr/bin/evince-thumbnailer//sanitized_helper
/usr/bin/evince//sanitized_helper
/usr/bin/irssi
/usr/bin/pidgin
/usr/bin/pidgin//launchpad_integration
/usr/bin/pidgin//sanitized_helper
/usr/bin/totem
/usr/bin/totem-audio-preview
/usr/bin/totem-video-thumbnailer
....................... и т.д.

В выводе можно заметить что профили могут находится в трех режимах:

Enforce - рабочий режим при котором все нарушения блокируются, а также делаются записи в файл журнала.
Complain - режим обучения, только регистрирует нарушения, но ничего не блокирует
Unconfined - режим без всяких ограничений.

Для преключения режимов существуют команды:
В режим Enforce:
$ sudo aa-enforce skype (где skype, наименование программы)
В режим Complain:
$ sudo aa-comlain skype

Для перезагрузки профилей, программы и ее остановки существуют команды:
$ sudo service apparmor reload
$ sudo service apparmor restart
$ sudo service apparmor stop

Ключевые слова: