3.7. 文件访问权限模式

文件访问权限模式由以下六种模式组合而成:

r

读取模式

w

写模式

px

离散配置文件执行模式

ux

无约束的执行模式

ix

继承执行模式

l

链接模式

3.7.1. 读取模式

允许程序拥有读取资源的权限。读权限是 shell 脚本和其它解释的内容所必需的,确定正在执行的进程是否可以转储核心或与 ptrace(2) 相连(strace(1)ltrace(1)gdb(1) 等实用程序使用 ptrace(2))。

3.7.2. 写模式

允许程序拥有写入资源的权限。将被取消链接(删除)的文件必须拥有此权限。

3.7.3. 离散配置文件执行模式

此模式要求为在 Novell AppArmor 域转换时执行的资源定义一个离散安全配置文件。如果未定义配置文件,则会拒绝访问。与继承无约束执行条目不兼容。

3.7.4. 无约束执行模式

允许程序执行资源,不对被执行的资源应用任何 Novell AppArmor 配置文件。也必须列出执行模式。与继承离散配置文件执行条目不兼容。

此模式可用于使被限制的程序能够执行需要特权的操作,如重新引导计算机等。通过在其它可执行文件中放置具有特权的部分并授予无约束的执行权限,您可以避开被限制的进程上所强加的限制。有关限制内容的详细信息,请参见 apparmor(7) 手册页。

3.7.5. 继承执行模式

在构建了配置文件的程序执行资源时,防止 execve(2) 上正常的 Novell AppArmor 域转换。相反,被执行的资源继承当前配置文件。与无约束离散配置文件执行条目不兼容。当被限制的程序需要调用其它被限制的程序时此模式非常实用,无须获得目标程序配置文件的权限或失去当前配置文件的权限。此模式不常使用。

3.7.6. 链接模式

链接模式调解对符号链接和硬链接的访问和未链接(或删除)文件的特权。创建一个链接后,链接到的文件必须具备与创建的链接相同的访问权限(目标文件不必拥有链接权限时除外)。