Сценарий аудита GRUB всегда терпит неудачу в Ubuntu даже после исправления (параметры AppArmor не обнаружены) ⇐ Linux

[Anonymous]

Я пытаюсь реализовать правило усиления CIS в Ubuntu, которое требует, чтобы каждая запись GRUB linux включала:

Код: Выделить всё

apparmor=1
security=apparmor

Скрипт аудита

Код: Выделить всё

#!/bin/bash
if grep "^\s*linux" /boot/grub/grub.cfg | grep -v "apparmor=1"; then
exit 1
else
if grep "^\s*linux" /boot/grub/grub.cfg | grep -v "security=apparmor"; then
exit 1
else
exit 0
fi
fi

Этот сценарий аудита возвращает ошибку даже после запуска исправления.
Скрипт исправления:

Код: Выделить всё

#!/bin/bash
set -e

GRUB_FILE="/etc/default/grub"
[[ ! -f "${GRUB_FILE}.original" ]] && cp "$GRUB_FILE" "${GRUB_FILE}.original"

current=$(grep '^GRUB_CMDLINE_LINUX=' "$GRUB_FILE" 2>/dev/null | sed 's/^GRUB_CMDLINE_LINUX="\(.*\)"$/\1/' || echo "")

new="$current"
[[ ! "$new" =~ (^|[[:space:]])apparmor=1([[:space:]]|$) ]] && new="$new apparmor=1" && changed=1
[[ ! "$new" =~ (^|[[:space:]])security=apparmor([[:space:]]|$) ]] && new="$new security=apparmor" && changed=1

if [[ -n "$changed" ]]; then
new=$(echo "$new" | xargs)
sed -i "s|^GRUB_CMDLINE_LINUX=.*|GRUB_CMDLINE_LINUX=\"$new\"|" "$GRUB_FILE" || \
echo "GRUB_CMDLINE_LINUX=\"$new\"" >> "$GRUB_FILE"

update-grub 2>/dev/null || grub2-mkconfig -o /boot/grub2/grub.cfg 2>/dev/null || \
grub2-mkconfig -o /boot/grub/grub.cfg

echo "CONFIGURED: Reboot required"
else
echo "ALREADY CONFIGURED"
fi

После исправления я получаю следующий результат при повторном запуске сценария аудита:

Код: Выделить всё

/boot/memtest86+x64.bin
/boot/memtest86+x64.bin console=ttyS0,115200

Вопрос: почему сценарий аудита по-прежнему не работает и как правильно определить параметры ядра AppArmor?

Подробнее здесь: https://stackoverflow.com/questions/798 ... mor-parame