AppArmor

一、起源
项目源地址AppArmor / apparmor · GitLab,与SELinux一样，也是属于强制访问控制（MAC）机制，默认集成在openSUSE和Ubuntu系统中，优势是比SELinux配置简单，并且有学习模式，方便用户使用。AppArmor可以限制特定进程读取/写入和执行文件的能力（及其他能力）。其主要理念是进程内部发生的操作都不能脱离控制。

而 SELinux 则是使用附加到对象（例如文件、二进制文件、网络套接字）的标签，并通过这些标签确定特权边界，从而建立一个可以跨越多个进程甚至整个系统的限制级别。

二、架构和模式
与SELinux一样，AppArmor也是一种强制访问类型（MAC）的扩展，只有当要访问的资源符合DAC要求后，才会进行AppArmor的权限判断。但是与SELinux必须只有明确的允许策略才能允许访问不同，AppArmor只有当程序的配置文件明确规定了受限，才会限制。比如我们安装了一个可执行程序，如果想用AppArmor进行访问控制，就需要新建一个配置文件到/etc/apparmor.d/目录下，这个目录下的每个配置文件都是跟可执行程序绑定的，不要随便修改配置文件名或程序路径。
————————————————
版权声明：本文为CSDN博主「yolo_yyh」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/yolo_yyh/article/details/127874858