← retour aux snippets

AppArmor: passer un profil en complain/enforce

Lister les profils, activer le mode complain, puis appliquer en enforce après correctifs.

bash security #apparmor#complain#enforce

objectif

Déployer progressivement des restrictions AppArmor sans casser la prod.

code minimal

sudo aa-status
sudo aa-complain /usr/sbin/nginx

utilisation

# repasser en enforce
sudo aa-enforce /usr/sbin/nginx

variante(s) utile(s)

# logs associés
sudo journalctl -k -g 'apparmor="DENIED"'

notes

  • outils: apparmor-utils.
  • alternative aux MAC SELinux dans d’autres distros.