掌握Ubuntu AppArmor安全模块（新手也能轻松上手的Linux应用安全防护指南）

检查 AppArmor 是否已启用

在 Ubuntu 系统中，AppArmor 通常默认启用。你可以通过以下命令确认其状态：

sudo apparmor_status

如果看到类似以下输出，说明 AppArmor 正在运行，并且已有部分程序受其保护：

apparmor module is loaded.10 profiles are loaded.7 profiles are in enforce mode.   /usr/bin/firefox   /usr/sbin/nginx   ...

AppArmor 的两种模式

• Enforce 模式（强制模式）：严格限制程序行为，违反规则的操作会被阻止并记录日志。
• Complain 模式（投诉模式）：不阻止违规操作，但会记录日志，适合调试和测试新配置文件。

创建自定义 AppArmor 配置文件

假设你有一个自定义脚本 /home/user/myapp.sh，你想限制它只能读取 /tmp 目录下的文件。

首先安装 AppArmor 工具（如未安装）：

sudo apt updatesudo apt install apparmor-utils

然后使用 aa-genprof 工具生成配置文件：

sudo aa-genprof /home/user/myapp.sh

此时，工具会进入交互式模式。你需要在另一个终端中运行你的脚本：

/home/user/myapp.sh

返回到 aa-genprof 终端，按提示选择允许或拒绝每个访问请求。完成后，配置文件将自动保存到 /etc/apparmor.d/ 目录下。

手动编写配置文件示例

你也可以手动创建配置文件。例如，为 /usr/local/bin/mytool 创建如下配置：

# vim /etc/apparmor.d/usr.local.bin.mytool#include <tunables/global>/usr/local/bin/mytool {  #include <abstractions/base>  # 允许读取 /tmp 下的所有文件  /tmp/** r,  # 允许执行自身  /usr/local/bin/mytool mr,  # 拒绝写入敏感目录  deny /etc/** w,  deny /home/** w,}

保存后，加载配置文件并设为强制模式：

sudo apparmor_parser -r /etc/apparmor.d/usr.local.bin.mytool

查看日志与故障排查

AppArmor 的日志通常记录在 /var/log/syslog 或 /var/log/audit/audit.log 中。你可以使用以下命令过滤相关日志：

sudo grep apparmor /var/log/syslog

日志中会显示被拒绝的操作，帮助你调整配置文件。

总结

通过本文，你已经掌握了 Ubuntu AppArmor安全模块 的基本概念、启用方法、配置文件创建以及日志分析技巧。无论是提升 Linux应用安全 还是加强 Ubuntu系统安全，AppArmor 都是一个值得信赖的工具。希望这篇 AppArmor配置教程 能帮助你在实际工作中更好地保护你的系统！

—— 安全始于细节，防护源于实践 ——