web-dev-qa-db-ja.com

AppArmorの削除

MySQLを開発マシンにインストールしました。追加のセキュリティ対策は必要ありません。

MySQLデータファイルを別のパーティションに移動したいのですが、これはAppAmorの設定に多くの変更が加えられていることを意味します。単純な開発マシンではあまりにも多くの作業が必要であり、実際には必要ないためです。

私の質問は、システムへの副作用なしにAppArmorを削除しても安全ですか?

私が言ったように、この場合のセキュリティは本当に心配ではありません。

1
Psicofrenia

言葉の意味でAppArmorを削除するのは安全ではありません。あなたはあなたを保護するために設置されるように設計されたセキュリティシステムを無効にするでしょう。したがって、それは確かにあなたの安全性を低下させるでしょう。あなたが知りたいのは:はい、副作用なしでそれを取り除くことができますが、それによってそのシステムのセキュリティを低下させます。

ただし、MySQL DataDirを別のパーティションに移動したいだけであれば、apparmorへの変更はごくわずかです。さらに、それを/ srv/mysqlに移動して、パーティションを/ srvまたは/ srv/mysqlにマウントすることをお勧めします(そのボックスに他のサービスがあるかどうかに応じて、/ srvに入れます)。

その理由は、ubuntuが/ srv mountpoint/directoryに、独自の(カスタム)サービスデータを展開する場所を記載しているためです(srvはサービスを表します。サーバー固有のサービス関連データを含める必要があります。 。たとえば、/ srv/cvsにはCVS関連のデータが含まれます。

Apparmorへの変更は非常に最小限です。

vi /etc/apparmor.d/usr.sbin.mysqldおよび/ var/lib/mysqlを検索し、以下を挿入します:

  /var/lib/mysql/ r,
  /var/lib/mysql/** rwk,
  # new location of datadir
  /srv/mysql/ r,
  /srv/mysql/** rwk,

それはapparmorを満足させるのに十分であり、それをアンインストールしていじり回す必要なしにそれをそのままにしておくことができます。

お役に立てば幸いです。

2
JeGr

システムをすぐに殺すことなくAppArmorを削除できます。機能するためにそれに依存するものはありません。

しかし、それは理由があります。セキュリティが本当に問題ではない場合は、それで十分ですが、すぐに使用できるようにするだけの場合は、ルールの適応方法を学ぶことを検討してください。

3
Oli

特定の質問については、$applicationnamemysqldに置き換えてください

単一のアプリケーションのapparmorを無効にするベストプラクティスの方法は、

Sudo aa-complain $applicationname

または

Sudo aa-complain /path/to/$applicationname

apparmor-utilsをインストールすると、aa-cleanprof $applicationnameを使用してプロファイルを完全にワイプでき、何も停止しません。

開発中にプロファイルを簡単に生成できるため、アプリケーションを本番環境にデプロイする場合に必要なものを正確に把握できることに注意してください。

apparmor-utilsをインストールし、aa-cleanprofaa-autodep $applicationnameaa-genprof $applicationnameaa-logprofを使用して、アプリケーションの使用に固有のプロファイルを簡単に作成できます。

2
m_krsic