AppArmor会锁定你的Ubuntu系统上的程序，只允许它们在正常使用时所需的权限，这对于可能被破坏的服务器软件尤其有用。AppArmor包括一些简单的工具，可以用来锁定其他应用程序。

默认情况下，AppArmor包含在Ubuntu和其他一些Linux发行版中。Ubuntu附带了几个AppArmor配置文件，但是您也可以创建自己的AppArmor配置文件。AppArmor的实用程序可以监视程序的执行，并帮助您创建配置文件。

在为应用程序创建自己的概要文件之前，您可能需要检查Ubuntu存储库中的apparmor profiles包，以查看要限制的应用程序的概要文件是否已经存在。

创建并运行测试计划

您需要在AppArmor监视程序时运行该程序，并遍历其所有正常功能。基本上，您应该像在正常使用中一样使用程序：启动程序、停止程序、重新加载程序以及使用它的所有功能。您应该设计一个测试计划，该计划贯穿程序需要执行的功能。

在运行测试计划之前，启动一个终端并运行以下命令来安装和运行aa genprof：

sudo apt-get install apparmor-utils

sudo aa-genprof /path/to/binary

让aagenprof在终端中运行，启动程序，然后运行上面设计的测试计划。你的测试计划越全面，你以后遇到的问题就越少。

执行完测试计划后，返回终端并按S键扫描系统日志中的AppArmor事件。

对于每个事件，都会提示您选择一个操作。例如，下面我们可以看到我们分析的/usr/bin/man，它执行了/usr/bin/tbl。我们可以选择/usr/bin/tbl是否应该继承/usr/bin/man的安全设置，它是否应该使用自己的AppArmor配置文件运行，或者它是否应该在unconfined模式下运行。

对于其他一些操作，您将看到不同的提示–这里我们允许访问/dev/tty，这是一个表示终端的设备

在流程结束时，系统将提示您保存新的AppArmor配置文件。

启用投诉模式并调整配置文件

创建概要文件后，将其置于“投诉模式”，AppArmor不限制其可以采取的操作，而是记录任何可能发生的限制：

sudo aa-complain /path/to/binary

正常使用程序一段时间。在投诉模式下正常使用后，运行以下命令扫描系统日志以查找错误并更新配置文件：

sudo aa-logprof

使用强制模式锁定应用程序

微调AppArmor配置文件后，启用“强制模式”锁定应用程序：

sudo aa-enforce /path/to/binary

您可能希望在将来运行sudoaalogprof命令来调整您的配置文件。

AppArmor配置文件是纯文本文件，因此您可以在文本编辑器中打开它们并手动调整它们。但是，上面的实用程序将指导您完成整个过程。