AppArmor/Utilities

Nach der Installation von apparmor-utils stehen verschiedene Kommandozeilenwerkzeuge (aa-*) zur Verfügung.

Viele Befehle erfordern Root-Rechte (z.B. via sudo).
Details zur Profilsprache (Regeln, Rechte, Globbing, Abstractions) sind in AppArmor/Policy beschrieben.

Start

sudo aa-enabled

sudo aa-status

sudo aa-complain PROFIL

sudo aa-enforce  PROFIL

sudo aa-audit    PROFIL

Utility	Aufgabe	Beschreibung
aa-enabled	Status	Prüft, ob AppArmor aktiviert ist
aa-status	Status/Übersicht	Zeigt geladene Profile und deren Modi
aa-complain	Profilmodus ändern	Setzt Profil in den complain-Modus
aa-enforce	Profilmodus ändern	Setzt Profil in den enforce-Modus
aa-audit	Profilmodus ändern	Setzt Profil in den audit-Modus
aa-disable	Profile laden/entladen	Deaktiviert ein Profil (wird nicht automatisch geladen)
aa-teardown	Profile laden/entladen	Entlädt alle Profile aus dem Kernel (AppArmor zur Laufzeit effektiv deaktiviert)
aa-exec	Prozess starten	Startet eine Anwendung unter einem angegebenen Profil
aa-unconfined	Analyse	Listet Prozesse mit Netzwerkzugriff ohne Profil
aa-autodep	Profil erstellen	Erzeugt ein Basisprofil im complain-Modus
aa-genprof	Profil erstellen	Interaktive Profilerstellung, am Ende typischerweise enforce
aa-logprof	Profil pflegen	Ergänzt Regeln interaktiv anhand der Log-Einträge
aa-cleanprof	Profil pflegen	Räumt Profile auf (z.B. nicht verwendete oder redundante Regeln)
aa-easyprof	Profil erstellen	Erstellt ein Profil auf Basis einfacher Vorlagen
aa-mergeprof	Profil pflegen	Führt Profile zusammen
aa-decode	Analyse	Dekodiert Hex-Strings aus AppArmor-Logs in ASCII
aa-features-abi	ABI/Features	Validiert/ändert die AppArmor-Feature-ABI
aa-remove-unknown	Profilpflege	Entfernt unbekannte Profile
aa-update-browser	Profilpflege	Aktualisiert Browser-Profile

aa-easyprof erzeugt häufig weniger restriktive Profile als aa-genprof oder aa-logprof
aa-logprof verarbeitet je nach Systemkonfiguration Log-Einträge (z.B. aus /var/log/syslog)