Eu estive estudando a possibilidade de executar comandos sob perfis do AppArmor criados dinamicamente no meu Ubuntu Server 16.04.1 LTS. Estou procurando algo semelhante ao macOS sandbox-exec , exceto obviamente para Linux.
Algumas pesquisas iniciais mostraram alguma promessa, a partir de um comando chamado aa-exec
.
No entanto, parece que o argumento para executar essa funcionalidade foi removido.
aa-exec: opção inválida - 'f'
Esta página de versão do manual mais recente não faz menção a ela e presumo que ela foi removida nesta versão. Talvez esse recurso tenha sido movido para outro utilitário?
Há alguma maneira de fazer isso?
Eu gostaria de fazer isso sem conceder permissões para instalar novos perfis em áreas privilegiadas. Soluções que envolvem compilar meu próprio código são bem-vindas.
-f
opção foi removida quando eles foram para o C, documentado aqui . Algo sobre impedir que as coisas sejam executadas como raiz.Respostas:
Dê uma olhada no firejail, que pode criar uma sandbox por aplicativo:
http://packages.ubuntu.com/search?keywords=firejail
https://firejail.wordpress.com/
https://wiki.archlinux.org/index.php/Firejail
fonte