第25章 pam_apparmor によるユーザに対する制限

AppArmor のプロファイルは実行されるプログラムに対して適用されるものです。もしも 特定のプログラムのうち一部分で、他の部分とは異なるアクセス許可を必要とする 場合は、プログラムに対してハット変更を適用することでハット (サブプロファイル と呼ばれる場合もあります) という役割を変更することができます。 pam_apparmor という PAM モジュールでは、グループ名やユーザ名をベースにしたサブプロファイルを 適用するかどうかを設定することができます。なお、 pam_apparmor を利用するには、 あらかじめ PAM のセッションモジュールとして登録しておく必要があります。

pam_apparmor パッケージは既定ではインストールされません。 YaST または zypper を利用してインストールしてください。 pam_apparmor の設定方法については、パッケージに同梱されている /usr/share/doc/packages/pam_apparmor/README をお読みください。 また、 PAM について詳しくは 第2章 PAM を利用した認証 をお読みください。

pam_apparmor では役割ベースのアクセス制御 (RBAC) を設定することができます。 RBAC の設定方法について、詳しくは http://wiki.apparmor.net/index.php/AppArmorRBAC をお読みください。


openSUSE セキュリティガイド 13.1