AppArmor 是以进程为中心的细粒度访问控制机制,需为关键服务(如 nginx、mysqld)单独编写、测试并启用精准策略文件。核心步骤包括:识别目标进程、用 aa-genprof 生成基础 profile、人工精简加固(删冗余路径、限 capability 与网络)、先 complain 模式观察日志,再 enforce 并验证功能与状态。
AppArmor 不是“一键开启全局防护”的工具,而是以进程为中心的细粒度访问控制机制。为关键系统进程定制隔离,核心在于为每个目标服务单独编写、测试并启用精准策略文件,而非套用通用模板。
明确关键进程范围
先识别真正需要强保护的服务,例如:
• Web 服务(nginx、apache2)
• 数据库(mysqld、postgresql)
• 系统守护进程(sshd、systemd-networkd)
• 容器运行时组件(containerd、dockerd)
避免盲目覆盖所有进程——非关键程序若强制启用 AppArmor,反而可能因权限不足导致功能异常。
生成基础策略文件
使用官方工具快速构建初始 profile:
• 运行 sudo aa-genprof /usr/sbin/nginx 启动交互式学习模式,期间正常操作 nginx(如请求网页、重启服务),AppArmor 自动捕获其实际文件访问和系统调用行为
• 工具会生成 /etc/apparmor.d/usr.sbin.nginx,包含路径白名单、网络端口、capability 限制等规则
• 对已有 profile 可用 sudo aa-logprof 分析 dmesg 或 /var/log/syslog 中的拒绝日志,动态补全遗漏项
精简与加固策略内容
生成的 profile 默认偏宽松,需人工审查并收紧:
• 删除未使用的路径规则(如 /tmp/**、/dev/shm/** 若 nginx 实际不用)
• 将宽泛路径如 /var/www/** rw 改为具体子目录(/var/www/example.com/** r, /var/www/example.com/uploads/ w)
• 显式禁用危险 capability:deny capability setuid,
• 限制网络:network inet tcp, network inet6 udp,
• 禁止执行任意脚本:/usr/bin/perl Px -> /usr/bin/perl,
分阶段部署与验证
切忌直接 enforce 上线:
• 先设为 complain 模式:sudo aa-complain /usr/sbin/nginx,观察 1–2 天日志是否出现误报
• 确认无误后切换 enforce:sudo aa-enforce /usr/sbin/nginx
• 验证生效状态:sudo aa-status | grep nginx 应显示 “enforced” 和对应进程 PID
• 检查服务功能完整性:curl 测试响应、日志写入、证书更新等常规操作是否仍正常
文章来自机圈观察员网,发布者:,转载请注明出处:https://www.jqgcy.com/xinjizixun/80937.html
