我有一个问题,我不确定如何在 AppArmor 中解决。
基本上我有一个执行程序的配置文件,让我们说
profile myprof {
/my/executable ix,
}
问题是我从那个可执行文件调用了另一个,生成一个进程,让我们称之为/the/other/executable。
如何让 AppArmor 授予/my/executable 权限以调用/the/other/executable?当然,这将在/my/executable 已经运行时完成。
最佳答案
profile myprof {
/my/executable ix,
}
当你写这样的规则时,你所做的就是让 myprof 执行 /my/executable 与完全相同myprof 拥有的权限。
因此,如果您想要允许 /my/executable 执行某些操作,您只需将该权限添加到 myprof 中,它将被我继承/我的/可执行文件。
但是,如果您想将特定权限排他性地授予/my/executable 以及myprof,您将需要使用其他东西:
ux - 无限制执行
Ux - 无限制执行 -- 清理环境
px - 离散配置文件执行
Px - 离散配置文件执行 -- 清理环境
cx - 执行时转换到子配置文件
Cx - 执行时转换到子配置文件 -- 清理 环境
pix - 使用继承后备执行的离散配置文件
Pix - 离散配置文件执行继承回退 -- 清理 环境
cix - 使用继承回退执行时转换到子配置文件
Cix - 在执行时转换到子配置文件并继承回退 -- 清理环境
pux - 回退到无限制的离散配置文件执行
PUx - 离散配置文件执行,回退到无限制 -- 擦洗环境
cux - 在执行时转换到子配置文件并回退到 无拘无束
CUx - 在执行时转换到子配置文件并回退到 无拘无束——擦洗环境
离散配置文件和子配置文件之间的区别在于,离散配置文件是正常配置文件,子配置文件是在当前配置文件内部定义的。
关于linux - Apparmor:是否可以从可执行文件中调用另一个可执行文件?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50523414/