3.7. Modalità di accesso autorizzazioni file

Le modalità di accesso autorizzazioni file sono costituite da combinazioni delle sei modalità seguenti:

r

modalità lettura

w

modalità scrittura

px

modalità di esecuzione profili separati

ux

modalità di esecuzione senza vincoli

ix

modalità di esecuzione con eredità

l

modalità collegamento

3.7.1. Modalità lettura

Consente al programma di accedere in lettura alla risorsa. L'accesso in lettura è obbligatorio per le script della shell e altri contenuti interpretati e stabilisce se un processo in esecuzione può eseguire il dump della memoria oppure essere associato a ptrace(2) (ptrace(2) viene utilizzato da utility, quali strace(1), ltrace(1) e gdb(1)).

3.7.2. Modalità Scrittura

Consente al programma di accedere in scrittura alla risorsa. È necessario che i file dispongano di questa autorizzazione se non collegati (rimossi)

3.7.3. Modalità di esecuzione profili separati

Questa modalità richiede la definizione di un profilo di sicurezza separato per una risorsa che viene eseguita in una transizione di dominio Novell AppArmor. Se non è stato definito alcun profilo, l'accesso viene negato. Incompatibile con le voci di esecuzione inherit e unconstrained.

3.7.4. Modalità di esecuzione non limitata

Consente al programma di eseguire la risorsa senza alcun profilo Novell AppArmor applicato alla risorsa eseguita. Richiede anche l'elenco della modalità di esecuzione. Incompatibile con le voci di esecuzione inherit e discrete profile.

Questa modalità è utile quando un programma limitato deve eseguire un'operazione con autorizzazioni, come ad esempio il riavvio del computer. Inserendo la sezione con autorizzazioni in un altro file eseguibile e consentendo diritti di esecuzione non limitati, è possibile ignorare i vincoli obbligatori imposti a tutti i processi limitati. Per ulteriori informazioni sul contenuto limitato, vedere la pagina man apparmor(7).

3.7.5. Modalità di esecuzione ereditata

Impedisce la normale transizione del dominio Novell AppArmor in execve(2) quando il programma con profilo esegue la risorsa. La risorsa eseguita eredita invece il profilo corrente. Incompatibile con le voci di esecuzione unconstrained e discrete profile. Questa modalità è utile quando un programma limitato deve chiamarne un altro senza ottenere le autorizzazioni del profilo di destinazione né perdere quelle del profilo corrente. Viene utilizzata raramente.

3.7.6. Modalità di collegamento

La modalità collegamento fa da intermediario tra gli accessi ai collegamenti di sistema e hardware e l'autorizzazione a interrompere i collegamenti (eliminare) dei file. Dopo che viene creato un collegamento, è necessario che il file collegato disponga delle stesse autorizzazioni di accesso di quelle del collegamento creato (con l'unica eccezione che la destinazione non deve disporre dell'accesso al collegamento).