Ubuntu 22.04 AppArmor の無効化手順
Contents
概要
- AppArmor(Application Armor)は、Ubuntu に標準でバンドルされている Linux Security Modules の一つです。アプリケーションにセキュリティプロファイルを設定し、アクセスや操作を制限します。
- 今回、Ubuntu 22.04 にて、AppArmor の無効化を行いました。手順を記載します。
apparmor の無効化
- systemd の apparmor サービスのステータスを確認する。
$ systemctl status apparmor
● apparmor.service - Load AppArmor profiles
Loaded: loaded (/lib/systemd/system/apparmor.service; enabled; vendor preset: enabled)
Active: active (exited) since Mon 2023-10-09 04:32:56 UTC; 2min 48s ago
Docs: man:apparmor(7)
https://gitlab.com/apparmor/apparmor/wikis/home/
Process: 294 ExecStart=/lib/apparmor/apparmor.systemd reload (code=exited, status=0/SUCCESS)
Main PID: 294 (code=exited, status=0/SUCCESS)
CPU: 33ms
- aa-statusコマンドを実行し、AppArmor のステータスを確認する。プロファイルが enforce モードでロードされている。
$ sudo aa-status
apparmor module is loaded.
33 profiles are loaded.
31 profiles are in enforce mode.
/snap/snapd/19122/usr/lib/snapd/snap-confine
/snap/snapd/19122/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
/usr/bin/man
/usr/lib/NetworkManager/nm-dhcp-client.action
/usr/lib/NetworkManager/nm-dhcp-helper
/usr/lib/connman/scripts/dhclient-script
/usr/lib/snapd/snap-confine
/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
/usr/sbin/chronyd
/{,usr/}sbin/dhclient
lsb_release
man_filter
man_groff
nvidia_modprobe
nvidia_modprobe//kmod
snap-update-ns.amazon-ssm-agent
snap-update-ns.lxd
snap.lxd.activate
snap.lxd.benchmark
snap.lxd.buginfo
snap.lxd.check-kernel
snap.lxd.daemon
snap.lxd.hook.configure
snap.lxd.hook.install
snap.lxd.hook.remove
snap.lxd.lxc
snap.lxd.lxc-to-lxd
snap.lxd.lxd
snap.lxd.migrate
snap.lxd.user-daemon
tcpdump
2 profiles are in complain mode.
snap.amazon-ssm-agent.amazon-ssm-agent
snap.amazon-ssm-agent.ssm-cli
0 profiles are in kill mode.
0 profiles are in unconfined mode.
9 processes have profiles defined.
2 processes are in enforce mode.
/usr/sbin/chronyd (480)
/usr/sbin/chronyd (485)
7 processes are in complain mode.
/snap/amazon-ssm-agent/6312/amazon-ssm-agent (425) snap.amazon-ssm-agent.amazon-ssm-agent
/snap/amazon-ssm-agent/6312/ssm-agent-worker (714) snap.amazon-ssm-agent.amazon-ssm-agent
/snap/amazon-ssm-agent/6312/ssm-session-worker (750) snap.amazon-ssm-agent.amazon-ssm-agent
/usr/bin/dash (777) snap.amazon-ssm-agent.amazon-ssm-agent
/usr/bin/sudo (790) snap.amazon-ssm-agent.amazon-ssm-agent
/usr/bin/sudo (791) snap.amazon-ssm-agent.amazon-ssm-agent
/usr/sbin/aa-status (792) snap.amazon-ssm-agent.amazon-ssm-agent
0 processes are unconfined but have a profile defined.
0 processes are in mixed mode.
0 processes are in kill mode.
- aa-teardownコマンドを実行し、AppArmorを停止する。aa-statusコマンドからプロファイルはアンロードされたことが分かる。
$ sudo aa-teardown
Unloading AppArmor profiles
$ sudo aa-status
apparmor module is loaded.
- systemd の apparmor サービスを停止、自動起動を無効化する。
$ systemctl status apparmor
● apparmor.service - Load AppArmor profiles
Loaded: loaded (/lib/systemd/system/apparmor.service; enabled; vendor preset: enabled)
Active: active (exited) since Mon 2023-10-09 04:32:56 UTC; 4min 32s ago
Docs: man:apparmor(7)
https://gitlab.com/apparmor/apparmor/wikis/home/
Process: 294 ExecStart=/lib/apparmor/apparmor.systemd reload (code=exited, status=0/SUCCESS)
Main PID: 294 (code=exited, status=0/SUCCESS)
CPU: 33ms
Warning: some journal files were not opened due to insufficient permissions.
$ sudo systemctl stop apparmor
$ sudo systemctl disable apparmor
Synchronizing state of apparmor.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install disable apparmor
Removed /etc/systemd/system/sysinit.target.wants/apparmor.service.
$ systemctl status apparmor
○ apparmor.service - Load AppArmor profiles
Loaded: loaded (/lib/systemd/system/apparmor.service; disabled; vendor preset: enabled)
Active: inactive (dead) since Mon 2023-10-09 04:37:55 UTC; 34s ago
Docs: man:apparmor(7)
https://gitlab.com/apparmor/apparmor/wikis/home/
Main PID: 294 (code=exited, status=0/SUCCESS)
CPU: 1ms
Warning: some journal files were not opened due to insufficient permissions.
参考資料
Posted by takaaki
関連記事
Node.jsアップデート後にforeverが動作しない時の対処
概要 今回は、Node.js をアップデートしたら予期せぬトラブルを経験したので ...
Linux sshd の特定ユーザーのみパスワード認証
概要 Linuxにてsshdのパラメータをカスタマイズする紹介です。sshdを鍵 ...
Windows Serverの暗号化レベルをHigh設定
Windows Server セキュリティ強化: 暗号化レベルのHigh設定 前 ...
EC2 user-data を使ってNAME Tagを設定する(Windows)
前提条件 前回に引き続き、EC2のName Tag をOSのスクリプトから設定す ...
Ubuntu 22.04 THP(Transparent Huge Page) の無効化手順
概要 Ubuntu Server 22.04 LTS の記事になります。ミドルウ ...
ディスカッション
コメント一覧
まだ、コメントがありません