현재 apparmor구성 파일을 재설정하고 있는데 약간 혼란스럽습니다. 지난번에 이것을 사용했을 때 이런 것이 있었음에 틀림없습니다. 만약 그렇게 했다면 Firefox에 관해 다음과 같은 결과를 얻게 될 것입니다.Firefox 19.0.2Ubuntu 12.04Firefox 7.01apparmor_status
..profiles are in enforce mode.
/usr/lib/firefox/firefox{,*[^s][^h]}//browser_java
/usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk
/usr/lib/firefox/firefox{,*[^s][^h]}//sanitized_helper
..profiles are in complain mode
/usr/lib/firefox-7.0.1/firefox.sh
/usr/lib/firefox/firefox{,*[^s][^h]}
/usr/lib/firefox/firefox{,*[^s][^h]}//null-34
/usr/lib/firefox/firefox{,*[^s][^h]}//null-34//null-35
..processes are in complain mode.
/usr/lib/firefox/firefox{,*[^s][^h]} (3818)
/usr/lib/firefox/firefox{,*[^s][^h]} (17960)
/usr/lib/firefox/firefox{,*[^s][^h]} (21817)
/usr/lib/firefox/firefox{,*[^s][^h]}//null-34 (3819)
/usr/lib/firefox/firefox{,*[^s][^h]}//null-34//null-35 (3823)
이제 디렉토리에서 /etc/apparmor.d/내 Firefox 관련 구성 파일은
usr.bin.firefox및 usr.lib.firefox-7.0.1.firefox.sh. 내 시스템에서 Firefox exec 자체의 위치와 관련하여 /usr/bin/firefox이는 /usr/lib/firefox/firefox.sh버전 번호가 없는 심볼릭 링크입니다.
시행 모드의 이러한 프로필은 상위 프로필을 상속하고 상위 프로필이 불만을 표시하더라도 시행 모드를 유지합니까? 구성 파일이 /usr/lib/firefox/firefox1/usr/lib/firefox/firefox-7.01`이 아닌 상태 양식에 표시되는 이유는 무엇입니까 ?
마지막으로 메시지를 보내야 한다고 생각하는데 /var/log/messages프로세스가 한동안 불평 모드에 있지만 이 파일이 나에게 존재하지 않습니다.
답변1
이는 Firefox에서 시작된 프로세스에 대한 "완화된" 프로필입니다. 구성 파일 sanitized_helpers는 에 정의되어 있습니다 /etc/apparmor.d/abstractions/ubuntu_helpers. /etc/apparmor.d/abstractions/ubuntu-browsers.d/
Firefox 프로필에 다음이 포함된 경우:
/path/to/executable cx,
그런 다음 하위 구성 파일이나 로컬 구성 파일을 사용하여 "실행 파일"을 제한합니다. Firefox 프로필에 다음이 포함된 경우 "실행 파일"에 대한 전역 프로필이 사용됩니다.
/path/to/executable px,
예, 이제 Firefox 버전이 필요하지 않습니다.
이 패키지를 설치하면 apparmor-notifyapparmor가 kern.log에 무언가를 기록할 때마다 데스크탑 알림을 받게 됩니다. 구성 파일 디버깅에 편리합니다.