Выполнить исполняемый файл в динамически созданном профиле AppArmor?

8

Я изучал возможность запуска команд в динамически создаваемых профилях AppArmor на моем Ubuntu Server 16.04.1 LTS. Я ищу что-то похожее на macOS sandbox-exec , за исключением, очевидно, для Linux.

Некоторое первоначальное исследование показало некоторое обещание от команды под названием aa-exec.

Тем не менее, похоже, что аргумент для выполнения этой функции был удален.

aa-exec: неверный параметр - 'f'

Эта новая страница руководства не упоминает об этом, и я полагаю, что она была удалена в этой версии. Возможно, эта функция была перенесена в другую утилиту?

Есть какой-либо способ сделать это?

Я хотел бы сделать это без предоставления разрешений на установку новых профилей в привилегированных областях. Решения, включающие компиляцию собственного кода, приветствуются.

Александр О'Мара
источник
-fВариант был удален , когда они перешли к C, документированы здесь . Что-то о предотвращении запуска вещей от имени root.
Каз Вулф

Ответы: