AppArmor/Utilities: Unterschied zwischen den Versionen

Versionsgeschichte interaktiv durchsuchen

VisuellWikitext

Aktuelle Version vom 12. Dezember 2025, 17:40 Uhr

AppArmor/Utilities

Nach der Installation von apparmor-utils stehen verschiedene Kommandozeilenwerkzeuge (aa-*) zur Verfügung.

Hinweis

Viele Befehle erfordern Root-Rechte (z.B. via sudo).
Details zur Profilsprache (Regeln, Rechte, Globbing, Abstractions) sind in AppArmor/Policy beschrieben.

Start

Status prüfen

sudo aa-enabled

sudo aa-status

Profilmodus umschalten

sudo aa-complain PROFIL

sudo aa-enforce  PROFIL

sudo aa-audit    PROFIL

Utilities nach Aufgaben

Utility	Aufgabe	Beschreibung
aa-enabled	Status	Prüft, ob AppArmor aktiviert ist
aa-status	Status/Übersicht	Zeigt geladene Profile und deren Modi
aa-complain	Profilmodus ändern	Setzt Profil in den complain-Modus
aa-enforce	Profilmodus ändern	Setzt Profil in den enforce-Modus
aa-audit	Profilmodus ändern	Setzt Profil in den audit-Modus
aa-disable	Profile laden/entladen	Deaktiviert ein Profil (wird nicht automatisch geladen)
aa-teardown	Profile laden/entladen	Entlädt alle Profile aus dem Kernel (AppArmor zur Laufzeit effektiv deaktiviert)
aa-exec	Prozess starten	Startet eine Anwendung unter einem angegebenen Profil
aa-unconfined	Analyse	Listet Prozesse mit Netzwerkzugriff ohne Profil
aa-autodep	Profil erstellen	Erzeugt ein Basisprofil im complain-Modus
aa-genprof	Profil erstellen	Interaktive Profilerstellung, am Ende typischerweise enforce
aa-logprof	Profil pflegen	Ergänzt Regeln interaktiv anhand der Log-Einträge
aa-cleanprof	Profil pflegen	Räumt Profile auf (z.B. nicht verwendete oder redundante Regeln)
aa-easyprof	Profil erstellen	Erstellt ein Profil auf Basis einfacher Vorlagen
aa-mergeprof	Profil pflegen	Führt Profile zusammen
aa-decode	Analyse	Dekodiert Hex-Strings aus AppArmor-Logs in ASCII
aa-features-abi	ABI/Features	Validiert/ändert die AppArmor-Feature-ABI
aa-remove-unknown	Profilpflege	Entfernt unbekannte Profile
aa-update-browser	Profilpflege	Aktualisiert Browser-Profile

Hinweis

aa-easyprof erzeugt häufig weniger restriktive Profile als aa-genprof oder aa-logprof
aa-logprof verarbeitet je nach Systemkonfiguration Log-Einträge (z.B. aus /var/log/syslog)

Anhang

Siehe auch

Dokumentation

Links

Projekt

Weblinks

@@ Zeile 1: / Zeile 1: @@
-=== AppArmor Utilities ===
+=== AppArmor/Utilities ===
-Nach der Installation von '''apparmor-utils''' stehen folgende Kommandozeilen-Werkzeuge zur Verfügung
+Nach der Installation von '''apparmor-utils''' stehen verschiedene Kommandozeilenwerkzeuge (''aa-*'') zur Verfügung.
-{| class="wikitable sortable options big"
+; Hinweis
-|-
+* Viele Befehle erfordern Root-Rechte (z.B. via ''sudo'').
-! Utility !! Beschreibung
+* Details zur Profilsprache (Regeln, Rechte, Globbing, Abstractions) sind in '''[[AppArmor/Policy]]''' beschrieben.
-|-
-|| <tt>aa-enabled</tt>
+== Start ==
-|| simple Abfrage, ob AppArmor aktiviert ist
+; Status prüfen
-|-
+<syntaxhighlight lang="bash" highlight="1" line copy>
-|| <tt>aa-status</tt>
+sudo aa-enabled
-|| Überblick über die geladenen AppArmor-Profile mit Angabe des Modus
+</syntaxhighlight>
-|-
-|| <tt>aa-disable</tt>
+<syntaxhighlight lang="bash" highlight="1" line copy>
-|| Ein AppArmor Profile deaktivieren
+sudo aa-status
-|-
+</syntaxhighlight>
-|| <tt>aa-teardown</tt>
-|| Alle AppArmor Profile entladen, d.&nbsp;h.&nbsp;aus dem Speichern entfernen, so dass keine Profile in der laufenden Sitzung mehr aktiv sind
+; Profilmodus umschalten
-|-
+<syntaxhighlight lang="bash" highlight="1" line copy>
-|| <tt>aa-exec</tt>
+sudo aa-complain PROFIL
-|| Eine Anwendung mit einem speziellen, anzugebenden AppArmor Profil starten
+</syntaxhighlight>
-|-
-|| <tt>aa-unconfined</tt>
+<syntaxhighlight lang="bash" highlight="1" line copy>
-|| Ausgabe der Prozesse mit Netzwerkzugriff ohne Profil
+sudo aa-enforce  PROFIL
-|-
+</syntaxhighlight>
-|| <tt>aa-audit</tt>
-|| Profil in den Audit-Modus versetzen
+<syntaxhighlight lang="bash" highlight="1" line copy>
-|-
+sudo aa-audit    PROFIL
-|| <tt>aa-complain</tt>
+</syntaxhighlight>
-|| Profil in den Complain-Modus versetzen
-|-
+== Utilities nach Aufgaben ==
-|| <tt>aa-enforce</tt>
+{| class="wikitable sortable options big"
-|| Profil in den Enforce-Modus versetzen
+|-
-|-
+! Utility !! Aufgabe !! Beschreibung
-|| <tt>aa-autodep</tt>
+|-
-|| Erstellung eines Basis-Profils im Complain-Modus
+| ''aa-enabled'' || Status || Prüft, ob AppArmor aktiviert ist
 |-
-|| <tt>aa-genprof</tt>
+| ''aa-status'' || Status/Übersicht || Zeigt geladene Profile und deren Modi
-|| Erstellung eines Basis-Profils mit interaktiver Ergänzung von Regeln und abschließender Versetzung des Profils in den Enforce-Modus
+|-
-|-
+| ''aa-complain'' || Profilmodus ändern || Setzt Profil in den ''complain''-Modus
-|| <tt>aa-logprof</tt>
+|-
-|| interaktive Ergänzung von Regeln anhand der Einträge in '''/var/log/syslog'''
+| ''aa-enforce'' || Profilmodus ändern || Setzt Profil in den ''enforce''-Modus
 |-
-|| <tt>aa-cleanprof</tt>
+| ''aa-audit'' || Profilmodus ändern || Setzt Profil in den ''audit''-Modus
-|| automatisches Aufräumen eines Profils
+|-
-|-
+| ''aa-disable'' || Profile laden/entladen || Deaktiviert ein Profil (wird nicht automatisch geladen)
-|| <tt>aa-easyprof</tt>
+|-
-|| Einfaches Erstellen eines Profils
+| ''aa-teardown'' || Profile laden/entladen || Entlädt alle Profile aus dem Kernel (AppArmor zur Laufzeit effektiv deaktiviert)
-* Mit <tt>aa-easyprof</tt> estellte Profile sind gegebenenfalls weniger restriktiv als mit <tt>aa-genprof</tt> oder <tt>aa-logprof</tt> erstellte Profile
+|-
-|-
+| ''aa-exec'' || Prozess starten || Startet eine Anwendung unter einem angegebenen Profil
-|| <tt>aa-mergeprof</tt>
-|| AppArmor Profile zusammenführen
-|-
-|| <tt>aa-decode</tt>
-|| Decodiert einen String in Hexadezimaldarstellung aus dem AppArmor Log in einen ASCII-String
-|-
-|| <tt>aa-features-abi</tt>
-|| Extrahieren, Validieren und Ändern der AppArmor Feature ABI
-|-
-|| <tt>aa-remove-unknown</tt>
-|| Unbekannte AppArmor Profile entfernen
-|-
-|| <tt>aa-update-browser</tt>
-|| Apparmor Profile für Browser aktualisieren
 |-
+| ''aa-unconfined'' || Analyse || Listet Prozesse mit Netzwerkzugriff ohne Profil
+|-
+| ''aa-autodep'' || Profil erstellen || Erzeugt ein Basisprofil im ''complain''-Modus
+|-
+| ''aa-genprof'' || Profil erstellen || Interaktive Profilerstellung, am Ende typischerweise ''enforce''
+|-
+| ''aa-logprof'' || Profil pflegen || Ergänzt Regeln interaktiv anhand der Log-Einträge
+|-
+| ''aa-cleanprof'' || Profil pflegen || Räumt Profile auf (z.B. nicht verwendete oder redundante Regeln)
+|-
+| ''aa-easyprof'' || Profil erstellen || Erstellt ein Profil auf Basis einfacher Vorlagen
+|-
+| ''aa-mergeprof'' || Profil pflegen || Führt Profile zusammen
+|-
+| ''aa-decode'' || Analyse || Dekodiert Hex-Strings aus AppArmor-Logs in ASCII
+|-
+| ''aa-features-abi'' || ABI/Features || Validiert/ändert die AppArmor-Feature-ABI
+|-
+| ''aa-remove-unknown'' || Profilpflege || Entfernt unbekannte Profile
+|-
+| ''aa-update-browser'' || Profilpflege || Aktualisiert Browser-Profile
 |}
-Im Idealfall nutzt man AppArmor ohne es zu bemerken, da Regeln die entsprechenden Anwendungen schützen, aber nicht beeinträchtigen
-* Um zu überprüfen, ob AppArmor installiert und aktiviert ist, dient folgender Befehl im Terminal[https://wiki.ubuntuusers.de/AppArmor/#source-2 [2]]
- aa-enabled
+; Hinweis
+* ''aa-easyprof'' erzeugt häufig weniger restriktive Profile als ''aa-genprof'' oder ''aa-logprof''
+* ''aa-logprof'' verarbeitet je nach Systemkonfiguration Log-Einträge (z.B. aus ''/var/log/syslog'')
+<noinclude>
-Einen weiterführenden Überblick über den aktuellen Status von AppArmor erhält man mit folgendem Befehl
+== Anhang ==
+=== Siehe auch ===
+<div style="column-count:2">
+<categorytree hideroot=on mode="pages">{{BASEPAGENAME}}</categorytree>
+</div>
+----
+{{Special:PrefixIndex/{{BASEPAGENAME}}/}}
- sudo aa-status
+=== Dokumentation ===
+<!--
+; Man-Page
+#
+; Info-Pages
+-->
+=== Links ===
+==== Projekt ====
+==== Weblinks ====
+<!--
+{{DEFAULTSORT:new}}
+{{DISPLAYTITLE:new}}
+-->
 [[Kategorie:AppArmor]]
+</noinclude>