systemd & apparmor.md

Author: linxiaohui

README.md

@@ -1,13 +1,14 @@
 Linux Development FAQs
-=======
+======================
 
-  本书以解决具体问题的形式讲述了Linux环境中应用程序开发中的相关知识和工具：包括编译、连接，进程的运行时环境；
+  本书是作者在学习Linux以及在工作中使用Linux遇到的问题及解决办法的笔记与备忘录。
+  其中包括：Linux环境中应用程序开发中的相关知识和工具：包括编译、连接，进程的运行时环境；
   介绍了进程调试的方法；介绍了C语言开发中可能遇到的内存相关的问题与解决方法、工具；
   介绍了SHELL与应用开发中常见的与系统管理、网络等相关的内容；介绍了SYBASE等数据库在开发中需要注意的事项等内容。
-  是作者在之前工作遇到的问题及解决办法的笔记与备忘录。
-  
-  需要说明的是本书是作者工作中的一些经验的总结，本书中参考了大量的资料。由于时间跨度较长等原因，很多资料没有一一注明原作者和出处，这里一并表示感谢。若有异议，请联系作者。    
-  本书的描述假定读者有一定的Linux开发基础与经验。希望能对读者学习和工作有参考价值。    
-  
+
+  需要说明的是本书中参考了大量的资料。由于时间跨度较长等原因，很多资料没有一一注明原作者和出处，这里一并表示感谢。
+  若有异议，请[联系作者](https://github.com/linxiaohui/linux-devp-faq/issues)。    
+
   本书将持续更新。     
-  Current VERSION: 0.52 (Revised Draft:minor updates)
+
+  Current VERSION: 0.6 (Draft)

SUMMARY.md

@@ -9,7 +9,7 @@
     * [注意事项](programming/lang.md)
     * [第三方库](programming/lib.md)
     * [其它工具](programming/tools.md)
-    
+
 * [运行与调试](runtime/README.md)
     * [环境](runtime/env.md)
     * [进程检查](runtime/pcheck.md)
@@ -23,12 +23,6 @@
     * [内存检查技术与工具](memory/lib.md)
     * [深入理解malloc](memory/malloc.md)
 
-* [系统管理](sysadmin/README.md)
-    * [网络](sysadmin/network.md)
-    * [磁盘](sysadmin/disk.md)
-    * [性能分析工具](sysadmin/performance.md)
-    * [操作系统管理](sysadmin/os.md)
-    
 * [Shell](shell/README.md)
     * [SHELL基础](shell/sh.md)
     * [终端相关](shell/terminal.md)
@@ -41,11 +35,19 @@
     * [SSH](shell/ssh.md)
     * [有趣的Linux命令](shell/funny.md)
 
+* [系统管理](sysadmin/README.md)
+    * [网络](sysadmin/network.md)
+    * [磁盘](sysadmin/disk.md)
+    * [性能分析工具](sysadmin/performance.md)
+    * [操作系统管理](sysadmin/os.md)
+    * [AppArmor](sysadmin/apparmor.md)
+    * [systemd](sysadmin/systemd.md)
+
 * [数据库开发](database/README.md)
     * [sybase](database/sybase.md)
     * [DB2](database/db2.md)
-    
+
 * [杂项](misc/README.md)
     * [桌面环境](misc/desktop.md)
     * [配置](misc/config.md)
-    * [常用软件](misc/software.md)
+    * [常用软件](misc/software.md)

sysadmin/apparmor.md

@@ -1 +1,73 @@
 # AppArmor
+AppArmor(Application Armor)提供了强制访问控制机制，可以指定程序可以读、写或运行哪些文件，是否可以打开网络端口等，从而限制程序的功能。
+
+## 配置文件
+AppArmor与程序绑定，而不是用户。假设有一个可执行文件的路径为`/home/linux/apparmordemo`，如果要用Apparmor对其进行访问控制的话，就要在`/etc/apparmor.d`中对应文件名为`home.linux.apparmordemo`的配置文件。因每一个可执行文件都是与一个配置文件对应的的，因此如果修改文件名的话，配置文件将失效。
+
+## 工作模式
+Apparmor有两种工作模式：`enforcement`、`complain`/learning
+   1. enforcement：配置文件里列出的限制条件都会得到执行，并且对于违反这些限制条件的程序会进行日志记录。
+   2. complain ：  配置文件里的限制条件不会得到执行，Apparmor只是对程序的行为进行记录。
+
+## 资源限制
+### 文件系统
+Apparmor可以对某一个文件，或者某一个目录下的文件进行访问控制，包括以下几种访问模式：
+
+   | 模式        |  说明  |
+   | --------- - |:------:|
+   | r |    Read mode |
+   | w |    Write mode (mutually exclusive to a) |
+   | a |    Append mode (mutually exclusive to w) |
+   | k |    File locking mode |
+   | l |    Link mode |
+   |   linkfile->target |  Link pair rule (cannot be combined with other access modes)|
+
+例如：
+```
+/tmp r, #表示可对/tmp目录下的文件进行读取
+```
+**注意**:没在配置文件中列出的文件，程序是不能访问的
+
+### 资源限制
+Apparmor可以提供类似系统调用setrlimit一样的方式来限制程序可以使用的资源。
+```
+set rlimit [resource] <= [value],
+```
+例如:
+```
+set rlimit as<=1M, #可以使用的虚拟内存最大为1M
+```
+
+### 网络
+Apparmor可以对程序是否可以访问网络进行限制：
+```
+network [ [domain] [type] [protocol] ]
+```
+例如:
+```
+network, #可以进行所有的网络操作
+network inet tcp,  #允许程序使用在IPv4下使用TCP协议
+```
+
+### capability
+AppArmor可以设置进程可以使用的`capabilities`(`man 7 capablities`).
+`man apparmor.d` 可以查到:
+```
+ACCESS TYPE = ( 'allow' | 'deny' )
+QUALIFIERS = [ 'audit' ] [ ACCESS TYPE ]
+CAPABILITY RULE = [ QUALIFIERS ] 'capability' [ CAPABILITY LIST ]
+CAPABILITY LIST = ( CAPABILITY )+
+CAPABILITY = (lowercase capability name without 'CAP_' prefix; see capabilities(7))
+```
+
+## 配置文件编写
+`aa-genprof`
+
+
+## 常用命令
+   1. `sudo apparmor_status`: 查询当前Apparmor的状态
+   2. `sudo apparmor_parser`: loads AppArmor profiles into the kernel
+
+## 手册
+   1. `man apparmor`
+   2. `man apparmor.d`