Apparmor: возможно ли вызвать другой исполняемый файл из исполняемого файла? - PullRequest
Новая
       25

Apparmor: возможно ли вызвать другой исполняемый файл из исполняемого файла?

0 голосов
/ 25 мая 2018

У меня есть проблема, я не уверен, как решить в AppArmor.

В основном у меня есть профиль, который выполняет программу, скажем, 

profile myprof {
    /my/executable ix,
}

Проблема заключается в том, что изэтот исполняемый файл, я называю другой, порождающий процесс, давайте назовем его, /the/other/executable.

Как я могу сделать так, чтобы AppArmor давал / my / исполняемый файл разрешения для вызова / / other / исполняемого файла?Конечно, это будет сделано, когда / my / исполняемый файл уже запущен.

1 Ответ

0 голосов
/ 17 июля 2018 
profile myprof {
    /my/executable ix,
}

Когда вы пишете такое правило, вы должны разрешить myprof выполнять /my/executable с точно теми же разрешениями, что и myprof.Поэтому, если вы хотите разрешить /my/executable что-то делать, вам просто нужно добавить это разрешение к myprof, и оно будет i , наследуемым /my/executable.Но если вы хотите дать это конкретное разрешение исключительно на /my/executable, а также myprof, вам нужно будет использовать что-то еще:

  • ux - не определеновыполнить

  • Ux - не ограничено выполнить - очистить среду

  • px - выполнить дискретный профиль

  • Px - выполнение дискретного профиля - очистка среды

  • cx - переход к подпрофильу при выполнении

  • Cx - переход к подпрофилю при выполнении -- очистить среду

  • pix - выполнить дискретный профиль с наследованным резервом

  • Pix - выполнить дискретный профиль с наследованным резервом - очистить среду

  • cix - переход к субпрофилю при выполнении с наследованным резервом

  • Cix - переход к субпрофилю при выполнении с наследованным резервом - очистка среды

  • pux - дискретный профиль выполняется с fallback в неограниченное значение

  • PUx - выполнение дискретного профиля с откатом до неограниченного - очистка среды

  • cux - переход в подпрофиль при выполнении с восстановлениемк неограниченному

  • CUx - переход в подпрофиль при выполнении с откатом к неограниченному - очистка среды

Разница между дискретным профилем иПодпрофиль - это то, что дискретный профиль является нормальным профилем, подпрофиль определяет внутри текущего профиля.

...