Apparmor:是否可以从可执行文件中调用另一个可执行文件?
Apparmor: is it possible to call another executable from within an executable?
我有一个问题,我不确定如何在 AppArmor 中解决。
基本上我有一个执行程序的配置文件,让我们说
profile myprof {
/my/executable ix,
}
问题是我从那个可执行文件调用了另一个,生成一个进程,让我们称之为,/the/other/executable。
如何让 AppArmor 授予 /my/executable 调用 /the/other/executable 的权限?当然,这将在 /my/executable 已经 运行 时完成。
profile myprof {
/my/executable ix,
}
当您编写这样的规则时,您所做的是允许 myprof 以 完全 与 [=] 相同的权限执行 /my/executable 11=] 有。
因此,如果您想允许 /my/executable 执行某些操作,您只需将该权限添加到 myprof,它将被 i 继承给 /my/executable。
但是,如果您想 独占地 向 /my/executable 以及 myprof 授予该特定权限,您将需要使用其他东西:
ux - 无限制执行
Ux - 无限制执行 -- 清理环境
px - 离散配置文件执行
Px - 离散配置文件执行 -- 清理环境
cx - 执行时转换到子配置文件
Cx - 执行时转换到子配置文件 -- 清理
环境
pix - 离散配置文件执行继承回退
Pix - 离散配置文件执行继承回退 -- 清理
环境
cix - 在执行时转换到带有继承后备的子配置文件
Cix - 使用继承回退执行时转换到子配置文件
-- 清理环境
pux - 离散配置文件执行后退到无限制
PUx - 离散配置文件执行后退到无限制 --
清理环境
cux - 执行时转换到子配置文件并回退到
不受限制
CUx - 在执行时转换到子配置文件并回退到
不受限制 -- 擦洗环境
离散配置文件和子配置文件的区别在于,离散配置文件是普通配置文件,子配置文件定义在里面当前个人资料。
我有一个问题,我不确定如何在 AppArmor 中解决。
基本上我有一个执行程序的配置文件,让我们说
profile myprof {
/my/executable ix,
}
问题是我从那个可执行文件调用了另一个,生成一个进程,让我们称之为,/the/other/executable。
如何让 AppArmor 授予 /my/executable 调用 /the/other/executable 的权限?当然,这将在 /my/executable 已经 运行 时完成。
profile myprof {
/my/executable ix,
}
当您编写这样的规则时,您所做的是允许 myprof 以 完全 与 [=] 相同的权限执行 /my/executable 11=] 有。
因此,如果您想允许 /my/executable 执行某些操作,您只需将该权限添加到 myprof,它将被 i 继承给 /my/executable。
但是,如果您想 独占地 向 /my/executable 以及 myprof 授予该特定权限,您将需要使用其他东西:
ux - 无限制执行
Ux - 无限制执行 -- 清理环境
px - 离散配置文件执行
Px - 离散配置文件执行 -- 清理环境
cx - 执行时转换到子配置文件
Cx - 执行时转换到子配置文件 -- 清理 环境
pix - 离散配置文件执行继承回退
Pix - 离散配置文件执行继承回退 -- 清理 环境
cix - 在执行时转换到带有继承后备的子配置文件
Cix - 使用继承回退执行时转换到子配置文件 -- 清理环境
pux - 离散配置文件执行后退到无限制
PUx - 离散配置文件执行后退到无限制 -- 清理环境
cux - 执行时转换到子配置文件并回退到 不受限制
CUx - 在执行时转换到子配置文件并回退到 不受限制 -- 擦洗环境
离散配置文件和子配置文件的区别在于,离散配置文件是普通配置文件,子配置文件定义在里面当前个人资料。