Intereting Posts
(Shell Script) Переменная не проходит правильно при извлечении значения из файла? Почему этот простой сценарий bash вызывает ошибку if / then / else? Просмотр информационных страниц в браузере ACPI пробуждение с клавиатуры / мыши через / proc / acpi / wakeup после приостановки. Как найти правильное устройство? Распределение Linux для начинающего пользователя Windows 7 с хорошей совместимостью Изменить каталог для файлов подсветки синтаксиса Kate Как я могу удалить пакеты-сироты в Fedora? Как происходит связь между BeagleBoneBlack и особенностью его процедуры монтажа? Что случилось с ePDFview? Как проверить, сколько внешних жестких дисков подключено к Linux Server Как изменить автоматически установленный пакет на намеренно настроенный? Как я могу запустить скрипт в /etc/init.d при загрузке? Linux Mint 13 не может обнаружить SSD и / или Windows 7 Где мой файл журнала crontab? Протокол WebSocket Stumper

AppArmor: Возможно ли использование нескольких профилей для одного приложения (Firefox, Thunderbird)? Синтаксис?

Есть ли способ создать профиль AppArmor для каждого профиля Firefox, при запуске нескольких профилей с одной установки Firefox? Или, как правило, для любого приложения, поддерживающего несколько профилей, Thunderbird и т. Д. Обычно все профили AppArmor, которые я нахожу для этих приложений, содержат только все приложение, если только я не пропустил что-то.

Обычно вы запускаете Firefox или Thunderbird с аргументом командной строки, чтобы указать другой профиль. Однако я не могу найти ничего в синтаксисе профиля AppArmor для сопоставления с аргументами приложения.

Я знаю, что libvirt делает это как-то, создавая профиль AppArmor для каждой виртуальной машины, поэтому должен быть какой-то способ.

AppArmor работает исполняемым файлом. Он не может понять, что Firefox загрузил другой профиль и поэтому должен использовать другой профиль AppArmor.

AppArmor поддерживает правила изменения , которые позволяют приложению изменять, к какому профилю относится к нему . Предполагаемый прецедент – это именно то, что позволяет приложению переключиться на более ограничительный профиль после завершения инициализации и выяснить, что ему нужно получить в этом конкретном случае. Поэтому, если Firefox был осведомлен о AppArmor, можно было бы дать ему правило change_profile и применить этот переход, как только выяснится, какой профиль будет запущен. Насколько я знаю, это не было сделано.

Что вы можете сделать без программирования, это сделать несколько копий или жестких ссылок исполняемого файла firefox-bin и определить разные профили для каждого из них (AppArmor основан на пути к исполняемому файлу, поэтому разные жесткие ссылки не должны использовать один и тот же профиль, в отличие от SELinux, основанного на inodes). Это требует root и не очень удобно, поэтому функция изменения профиля была добавлена ​​в AppArmor.

Я не уверен, но, как я понимаю, я думаю: нет.

Аппаргор может различать разные

  • заявление
  • путь к файловой системе
  • группа пользователей

Для того, чтобы иметь различное поведение apparmor в отношении различного профиля приложения, вам нужно создавать разных пользователей для каждого поведения аперсонов.

Как и андроид, для песочницы всех приложений под другим «пользователем».