Czy chcesz wykonać plik wykonywalny w dynamicznie tworzonym profilu AppArmor?

8

Rozważałem możliwość uruchamiania poleceń w dynamicznie tworzonych profilach AppArmor na moim Ubuntu Server 16.04.1 LTS. Szukam czegoś podobnego do macOS sandbox-exec , z wyjątkiem oczywiście Linuxa.

Niektóre wstępne badania wykazały pewną obietnicę z polecenia o nazwie aa-exec.

Wydaje się jednak, że argument dotyczący wykonania tej funkcji został usunięty.

aa-exec: nieprawidłowa opcja - „f”

To nowej wersji podręcznika nie wspomina o tym i zakładam, że została usunięta w tej wersji. Być może ta funkcja została przeniesiona do innego narzędzia?

Czy jest na to sposób?

Chciałbym to zrobić bez udzielania uprawnień do instalowania nowych profili w obszarach uprzywilejowanych. Mile widziane są rozwiązania polegające na kompilacji własnego kodu.

Alexander O'Mara
źródło
-fOpcja została usunięta, gdy przesunął się do C, udokumentowany tutaj . Coś na temat zapobiegania uruchamianiu rzeczy jako root.
Kaz Wolfe

Odpowiedzi: