Linux AppArmor 使用与安全策略

apparmor配置文件未生效需先确认profile是否已加载并处于enforce模式；检查aa-status中是否存在对应profile，用apparmor_parser -r加载；注意路径匹配规则、容器中需显式指定策略名、denied日志未必需处理。

AppArmor 配置文件没生效？先检查 profile 是否已加载

AppArmor 不像 SElinux 那样默认强制启用所有策略，profile 必须显式加载且处于 enforce 模式才起作用。常见现象是写好了 /etc/apparmor.d/usr.bin.nginx，但 aa-status 里完全看不到 nginx 进程被限制。

• 用 sudo aa-status 确认 profile 是否在 “profiles are loaded” 列表中；不在就说明没加载
• 加载命令是 sudo apparmor_parser -r /etc/apparmor.d/usr.bin.nginx（-r 表示 reload，首次用 -a）
• 注意路径必须和 aa-status 显示的 profile 路径一致——比如实际加载的是 /etc/apparmor.d/usr.sbin.mysqld，但你改了 /etc/apparmor.d/local/usr.sbin.mysqld，后者不会自动生效
• apparmor_parser 不报错 ≠ 加载成功：加了语法错误的 profile 可能静默失败，建议加 -v 查看详细输出

路径通配符写错导致权限放行过度

AppArmor 的路径规则里，/** 和 /* 行为差异很大，一不留神就让整个子树可读写。比如想只允许 nginx 访问 /var/www/html/ 下的静态文件，但写了 /var/www/html/** rw,，结果连 /var/www/html/../etc/shadow（即 /etc/shadow）也意外放行了。

• /** 是递归匹配任意深度子目录，且不阻止路径回溯（..）
• 真正安全的写法是：/var/www/html/** mr,（只读+执行），配合 /var/www/html/ rw,（目录本身可遍历）
• 如果需要精确控制，优先用 /var/www/html/{index.html,style.css} r, 这类白名单枚举
• 写完用 sudo aa-logprof 触发实际访问，再看日志里是否出现“allowed”之外的“denied”事件——那是漏掉的权限，也是过度放行的反向线索

容器里用 AppArmor 要额外挂载和指定策略名

docker 默认不启用 AppArmor，即使宿主机开了，容器进程也不会自动继承 host 的 profile。kubernetes 更严格：pod annotation 里写的 profile 名必须已在节点上预加载，且不能带路径前缀。

• Docker 启动时加 --security-opt apparmor=nginx-profile，其中 nginx-profile 是 profile 名（不是文件名），需与 aa-status 输出的名称一致
• profile 文件放在 /etc/apparmor.d/ 后，必须用 apparmor_parser -r 加载，否则 Docker 启动会报错 AppArmor profile not found
• Kubernetes 中写 container.apparmor.security.beta.kubernetes.io/nginx: runtime/default 是无效的——runtime/default 是 Docker 自带策略名，AppArmor 模块不识别；得用 localhost/nginx-profile
• 容器内进程 UID/GID 变化（如用 user: 1001）不影响 AppArmor 规则匹配，它只看路径、能力、网络类型等，这点比 SELinux 简单

audit.log 里一堆 DENIED 但程序没报错？别急着加权限

AppArmor 日志里频繁出现 operation="open" name="/proc/12345/status" pid=12345 profile="/usr/bin/python3" 这类 DENIED，并不意味着程序异常——很多 Python 库或 systemd 集成代码会试探性读取 /proc，失败后自动降级，根本不需要你开放。

• 先确认该 DENIED 是否真导致功能缺失：比如网页打不开、日志报 Permission denied，再针对性处理
• 用 sudo aa-logprof 交互式分析日志，它会把同类事件合并，并提示是否添加规则；但注意它默认建议 /** rw,，务必手动改成最小路径
• 临时调试可用 complain 模式：sudo aa-complain /usr/bin/myapp，此时 DENIED 只记日志不拦截，适合灰度验证
• 别忽略 capability 类 DENIED，比如 capability net_admin，这类不是路径问题，得在 profile 里显式加 capability net_admin,

AppArmor 的麻烦点不在语法多难，而在「策略是否真在跑」「路径是否被绕过」「日志是否真代表问题」这三件事很难一眼看穿。调策略时，永远以 aa-status 和实时 journalctl -t kernel | grep apparmor 为准，而不是编辑器里的文件内容。