3.7 ファイルアクセス権限モード

ファイルアクセス権限モードは、以下の6つのモードの組み合わせから構成されます。

r

読み取りモード

w

書き込みモード

px

個別のプロファイル実行モード

ux

制約のない実行モード

ix

継承による実行モード

l

リンクモード

3.7.1 読み取りモード

リソースへの読み取り権限をプログラムに許可します。読み取り権限は、シェルスクリプトおよび他の解釈済みのコンテンツにとって必要です。読み取り権限は、実行プロセスがコアダンプなのか、ptrace(2)とともにに添付されるのかを決定します(ptrace(2)strace(1)ltrace(1)およびgdb(1)のようなユーティリティにより使用されます)。

3.7.2 書き込みモード

リソースへの書き込み権限をプログラムに許可します。ファイルがリンク解除(削除)されるためには、書き込み権限が必要です。

3.7.3 個別のプロファイル実行モード

このモードではNovell AppArmorドメインの移行で実行されたリソースに対し、個別のセキュリティプロファイルが定義されることが必要です。定義されたプロファイルがなければ、アクセスは拒否されます。継承および制限なし実行エントリとは互換性がありません。

3.7.4 制限なし実行モード

Novell AppArmorプロファイルを実行済みリソースに適用せず、プログラムがそのリソースを実行することを許可します。また、実行モードを表示することも必要です。継承および個別のプロファイル実行エントリとは互換性がありません。

制限されたプログラムが、マシンの再起動など権限が必要な処理を行う必要があるときに、このモードは役立ちます。他の実行可能ファイルの権限付きセクションを配置し、制限のない実行権限を付与すると、すべての制限付きのプロセスに課せられた必須の条件を回避できます。条件に関する詳細の情報は、apparmor(7)のマンページを参照してください。

3.7.5 継承実行モード

プロファイル済みプログラムがリソースを実行するとき、execve(2)上での通常Novell AppArmorドメインの移行を防止します。代わりに、実行済みリソースは現在のプロファイルを継承します。制限なしおよび個別のプロファイル実行エントリとは互換性がありません。このモードは、制限されたプログラムが、対象プロファイルの許可を得ずに、または現在のプロファイルの許可を失わずに、その他の制限されたプログラムを呼び出すときに有効です。 このモードはまれに使用されます。

3.7.6 リンクモード

リンクモードは、symlinksおよびhardlinksへのアクセス、ファイルのリンクを外す(または削除)の権限を仲介します。リンクが作成されるとき、リンク先のファイルには、作成されるリンクと同じアクセス権があることが必要です(接続先にリンクアクセスがなくてもよい場合を除きます)。