Exécuter un exécutable sous un profil AppArmor créé dynamiquement?

8

J'ai étudié la possibilité d'exécuter des commandes sous des profils AppArmor créés dynamiquement sur mon Ubuntu Server 16.04.1 LTS. Je cherche quelque chose de similaire au macOS sandbox-exec , sauf évidemment pour Linux.

Certaines recherches initiales ont montré une certaine promesse, à partir d'une commande appelée aa-exec.

Cependant, il semble que l'argument pour effectuer cette fonctionnalité a été supprimé.

aa-exec: option invalide - 'f'

Cette page de version manuelle plus récente n'en fait aucune mention, et je suppose qu'elle a été supprimée dans cette version. Peut-être que cette fonctionnalité a été déplacée vers un autre utilitaire?

Y a-t-il un moyen de faire ça?

Je voudrais le faire sans accorder d'autorisations pour installer de nouveaux profils dans des zones privilégiées. Les solutions impliquant la compilation de mon propre code sont les bienvenues.

Alexander O'Mara
la source
L' -foption a été supprimée lorsqu'ils sont passés à C, documenté ici . Quelque chose pour empêcher les choses d'être exécutées en tant que root.
Kaz Wolfe

Réponses: