Ubuntu 24.04
Sponsored Link

AppArmor : 有効化/無効化の設定2024/06/18

 

AppArmor (Application Armor) の基本操作/設定です。

AppArmor を設定することにより、各種リソースへの強制アクセス制御 (MAC - Mandatory Access Control) 機能が利用可能となります。

[1] AppArmor が現在利用可能かどうかは、現在のステータスを表示することで確認できます。
(以下はシステムインストール時のデフォルト状態)
# ステータス表示
# 24 のプロファイルが [enforce] モードでロードされている

root@dlp:~#
aa-status

112 profiles are loaded.
24 profiles are in enforce mode.
   /usr/bin/man
   /usr/lib/snapd/snap-confine
   /usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   lsb_release
   man_filter
   man_groff
   nvidia_modprobe
   nvidia_modprobe//kmod
   plasmashell
   plasmashell//QtWebEngineProcess
   rsyslogd
   tcpdump
   ubuntu_pro_apt_news
   ubuntu_pro_esm_cache
   ubuntu_pro_esm_cache//apt_methods
   ubuntu_pro_esm_cache//apt_methods_gpgv
   ubuntu_pro_esm_cache//cloud_id
   ubuntu_pro_esm_cache//dpkg
   ubuntu_pro_esm_cache//ps
   ubuntu_pro_esm_cache//ubuntu_distro_info
   ubuntu_pro_esm_cache_systemctl
   ubuntu_pro_esm_cache_systemd_detect_virt
   unix-chkpwd
   unprivileged_userns
0 profiles are in complain mode.
0 profiles are in prompt mode.
0 profiles are in kill mode.
88 profiles are in unconfined mode.
   1password
   Discord
   MongoDB Compass
   QtWebEngineProcess
   brave
   buildah
   busybox

.....
.....

   vpnns
   vscode
   wpcom
1 processes have profiles defined.
1 processes are in enforce mode.
   /usr/sbin/rsyslogd (688) rsyslogd
0 processes are in complain mode.
0 processes are in prompt mode.
0 processes are in kill mode.
0 processes are unconfined but have a profile defined.
0 processes are in mixed mode.

# 各プロファイルの設定ファイルは以下

root@dlp:~#
ll /etc/apparmor.d

total 464
drwxr-xr-x   9 root root  4096 Jun  4 23:44 ./
drwxr-xr-x 108 root root  4096 Jun 17 04:08 ../
-rw-r--r--   1 root root   354 Mar 31 07:27 1password
-rw-r--r--   1 root root   352 Mar 31 07:27 Discord
-rw-r--r--   1 root root   386 Mar 31 07:27 MongoDB_Compass
-rw-r--r--   1 root root   404 Mar 31 07:27 QtWebEngineProcess
drwxr-xr-x   2 root root  4096 Apr 23 09:40 abi/
drwxr-xr-x   4 root root  4096 Apr 23 09:40 abstractions/
-rw-r--r--   1 root root   348 Mar 31 07:27 brave
-rw-r--r--   1 root root   342 Mar 31 07:27 buildah
-rw-r--r--   1 root root   342 Mar 31 07:27 busybox
-rw-r--r--   1 root root   330 Mar 31 07:27 cam
-rw-r--r--   1 root root   351 Mar 31 07:27 ch-checkns
-rw-r--r--   1 root root   339 Mar 31 07:27 ch-run
-rw-r--r--   1 root root   349 Mar 31 07:27 chrome
-rw-r--r--   1 root root   349 Mar 31 07:27 code
-rw-r--r--   1 root root   333 Mar 31 07:27 crun
.....
.....
[2] AppArmor を無効化したい場合は、以下のように設定します。
# システム起動時の プロファイル ロードを無効化

root@dlp:~#
systemctl disable apparmor

Synchronizing state of apparmor.service with SysV service script with /usr/lib/systemd/systemd-sysv-install.
Executing: /usr/lib/systemd/systemd-sysv-install disable apparmor
Removed "/etc/systemd/system/sysinit.target.wants/apparmor.service".

root@dlp:~#
# 以上でカーネルがロードする以外のプロファイルは無効化される

root@dlp:~#
aa-enabled

Yes
root@dlp:~#
aa-status

apparmor module is loaded.
3 profiles are loaded.
3 profiles are in enforce mode.
   /usr/lib/snapd/snap-confine
   /usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   rsyslogd
0 profiles are in complain mode.
0 profiles are in prompt mode.
0 profiles are in kill mode.
0 profiles are in unconfined mode.
1 processes have profiles defined.
1 processes are in enforce mode.
   /usr/sbin/rsyslogd (595) rsyslogd
0 processes are in complain mode.
0 processes are in prompt mode.
0 processes are in kill mode.
0 processes are unconfined but have a profile defined.
0 processes are in mixed mode.

# カーネル側も含めて完全に無効化する場合はカーネルパラメーターを追加

root@dlp:~#
vi /etc/default/grub
# 11行目 : 追記

GRUB_CMDLINE_LINUX="
apparmor=0
"
root@dlp:~#
update-grub

root@dlp:~#
root@dlp:~#
aa-enabled

No - disabled at boot.
root@dlp:~#
aa-status

apparmor module is loaded.
apparmor filesystem is not mounted.
関連コンテンツ