He estado buscando la posibilidad de ejecutar comandos en perfiles AppArmor creados dinámicamente en mi Ubuntu Server 16.04.1 LTS. Estoy buscando algo similar al macOS sandbox-exec , excepto obviamente para Linux.
Algunas investigaciones iniciales mostraron cierta promesa, de un comando llamado aa-exec
.
Sin embargo, parece que se ha eliminado el argumento para realizar esta funcionalidad.
aa-exec: opción no válida - 'f'
Esta página de la versión manual más reciente no lo menciona, y supongo que se eliminó en esta versión. ¿Quizás esta característica se movió a otra utilidad?
¿Hay alguna forma de hacer esto?
Me gustaría hacer esto sin otorgar permisos para instalar nuevos perfiles en áreas privilegiadas. Las soluciones que implican compilar mi propio código son bienvenidas.
-f
opción se eliminó cuando se trasladaron a C, documentada aquí . Algo sobre evitar que las cosas se ejecuten como root.Respuestas:
Eche un vistazo a firejail, que puede crear un entorno limitado por aplicación:
http://packages.ubuntu.com/search?keywords=firejail
https://firejail.wordpress.com/
https://wiki.archlinux.org/index.php/Firejail
fuente