Я изучал возможность запуска команд в динамически создаваемых профилях AppArmor на моем Ubuntu Server 16.04.1 LTS. Я ищу что-то похожее на macOS sandbox-exec , за исключением, очевидно, для Linux.
Некоторое первоначальное исследование показало некоторое обещание от команды под названием aa-exec
.
Тем не менее, похоже, что аргумент для выполнения этой функции был удален.
aa-exec: неверный параметр - 'f'
Эта новая страница руководства не упоминает об этом, и я полагаю, что она была удалена в этой версии. Возможно, эта функция была перенесена в другую утилиту?
Есть какой-либо способ сделать это?
Я хотел бы сделать это без предоставления разрешений на установку новых профилей в привилегированных областях. Решения, включающие компиляцию собственного кода, приветствуются.
-f
Вариант был удален , когда они перешли к C, документированы здесь . Что-то о предотвращении запуска вещей от имени root.Ответы:
Взгляните на firejail, который может создать песочницу для каждого приложения:
http://packages.ubuntu.com/search?keywords=firejail
https://firejail.wordpress.com/
https://wiki.archlinux.org/index.php/Firejail
источник