AppArmor : 有効化/無効化の設定2023/07/13

	AppArmor (Application Armor) の基本操作/設定です。 AppArmor を設定することにより、各種リソースへの強制アクセス制御 (MAC - Mandatory Access Control) 機能が利用可能となります。
[1]	AppArmor が現在利用可能かどうかは、現在のステータスを表示することで確認できます。 (以下はシステムインストール時のデフォルト状態)

# ステータス表示
# 13 のプロファイルが [enforce] モードでロードされている

root@dlp:~#

aa-status

apparmor module is loaded.
10 profiles are loaded.
10 profiles are in enforce mode.
   /usr/bin/man
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /{,usr/}sbin/dhclient
   lsb_release
   man_filter
   man_groff
   nvidia_modprobe
   nvidia_modprobe//kmod
0 profiles are in complain mode.
0 profiles are in kill mode.
0 profiles are in unconfined mode.
0 processes have profiles defined.
0 processes are in enforce mode.
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
0 processes are in mixed mode.
0 processes are in kill mode.

# 各プロファイルの設定ファイルは以下

root@dlp:~#

ll /etc/apparmor.d

total 40
drwxr-xr-x 2 root root 4096 Jun 11 19:27 abi
drwxr-xr-x 4 root root 4096 Jun 11 19:27 abstractions
drwxr-xr-x 2 root root 4096 Feb 14 05:49 disable
drwxr-xr-x 2 root root 4096 Feb 14 05:49 force-complain
drwxr-xr-x 2 root root 4096 Jun 11 19:30 local
-rw-r--r-- 1 root root 1379 Feb 14 05:49 lsb_release
-rw-r--r-- 1 root root 1189 Feb 14 05:49 nvidia_modprobe
-rw-r--r-- 1 root root 3461 Mar 30 04:02 sbin.dhclient
drwxr-xr-x 5 root root 4096 Jun 11 19:27 tunables
-rw-r--r-- 1 root root 3448 Mar 12 17:23 usr.bin.man

[2]	AppArmor を無効化したい場合は、以下のように設定します。

# 現在ロードされている全プロファイルをアンロード

root@dlp:~#

aa-teardown

Unloading AppArmor profiles

root@dlp:~#

aa-status

apparmor module is loaded.

# システム起動時のプロファイルロードを無効化

root@dlp:~#

systemctl disable apparmor

Synchronizing state of apparmor.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install disable apparmor
Removed /etc/systemd/system/sysinit.target.wants/apparmor.service.