Ich habe die Möglichkeit geprüft, Befehle unter dynamisch erstellten AppArmor-Profilen auf meinem Ubuntu Server 16.04.1 LTS auszuführen. Ich suche etwas ähnliches wie das macOS sandbox-exec , außer natürlich für Linux.
Einige anfängliche Untersuchungen zeigten, dass ein Befehl, der aufgerufen wurde, vielversprechend war aa-exec
.
Es scheint jedoch, dass das Argument zum Ausführen dieser Funktionalität entfernt wurde.
aa-exec: ungültige Option - 'f'
Diese neuere manuelle Versionsseite erwähnt es nicht und ich gehe davon aus, dass es in dieser Version entfernt wurde. Vielleicht wurde diese Funktion in ein anderes Dienstprogramm verschoben?
Gibt es eine Möglichkeit, dies zu tun?
Ich möchte dies tun, ohne die Berechtigung zum Installieren neuer Profile in privilegierten Bereichen zu erteilen. Lösungen, bei denen ich meinen eigenen Code kompiliere, sind willkommen.
-f
Option wurde entfernt, als sie zu C übergingen ( hier dokumentiert) . Etwas über das Verhindern, dass Dinge als Root ausgeführt werden.Antworten:
Schauen Sie sich Firejail an, mit dem pro Anwendung eine Sandbox erstellt werden kann:
http://packages.ubuntu.com/search?keywords=firejail
https://firejail.wordpress.com/
https://wiki.archlinux.org/index.php/Firejail
quelle