Rozważałem możliwość uruchamiania poleceń w dynamicznie tworzonych profilach AppArmor na moim Ubuntu Server 16.04.1 LTS. Szukam czegoś podobnego do macOS sandbox-exec , z wyjątkiem oczywiście Linuxa.
Niektóre wstępne badania wykazały pewną obietnicę z polecenia o nazwie aa-exec.
Wydaje się jednak, że argument dotyczący wykonania tej funkcji został usunięty.
aa-exec: nieprawidłowa opcja - „f”
To nowej wersji podręcznika nie wspomina o tym i zakładam, że została usunięta w tej wersji. Być może ta funkcja została przeniesiona do innego narzędzia?
Czy jest na to sposób?
Chciałbym to zrobić bez udzielania uprawnień do instalowania nowych profili w obszarach uprzywilejowanych. Mile widziane są rozwiązania polegające na kompilacji własnego kodu.
-fOpcja została usunięta, gdy przesunął się do C, udokumentowany tutaj . Coś na temat zapobiegania uruchamianiu rzeczy jako root.Odpowiedzi:
Zobacz Firejail, który może utworzyć piaskownicę dla każdej aplikacji:
http://packages.ubuntu.com/search?ke Keywords=firejail
https://firejail.wordpress.com/
https://wiki.archlinux.org/index.php/Firejail
źródło