AppArmor: Возможно ли использование нескольких профилей для одного приложения (Firefox, Thunderbird)? Синтаксис?

Есть ли способ создать профиль AppArmor для каждого профиля Firefox, при запуске нескольких профилей с одной установки Firefox? Или, как правило, для любого приложения, поддерживающего несколько профилей, Thunderbird и т. Д. Обычно все профили AppArmor, которые я нахожу для этих приложений, содержат только все приложение, если только я не пропустил что-то.

Обычно вы запускаете Firefox или Thunderbird с аргументом командной строки, чтобы указать другой профиль. Однако я не могу найти ничего в синтаксисе профиля AppArmor для сопоставления с аргументами приложения.

Я знаю, что libvirt делает это как-то, создавая профиль AppArmor для каждой виртуальной машины, поэтому должен быть какой-то способ.

2 Solutions collect form web for “AppArmor: Возможно ли использование нескольких профилей для одного приложения (Firefox, Thunderbird)? Синтаксис?”

AppArmor работает исполняемым файлом. Он не может понять, что Firefox загрузил другой профиль и поэтому должен использовать другой профиль AppArmor.

AppArmor поддерживает правила изменения , которые позволяют приложению изменять, к какому профилю относится к нему . Предполагаемый прецедент – это именно то, что позволяет приложению переключиться на более ограничительный профиль после завершения инициализации и выяснить, что ему нужно получить в этом конкретном случае. Поэтому, если Firefox был осведомлен о AppArmor, можно было бы дать ему правило change_profile и применить этот переход, как только выяснится, какой профиль будет запущен. Насколько я знаю, это не было сделано.

Что вы можете сделать без программирования, это сделать несколько копий или жестких ссылок исполняемого файла firefox-bin и определить разные профили для каждого из них (AppArmor основан на пути к исполняемому файлу, поэтому разные жесткие ссылки не должны использовать один и тот же профиль, в отличие от SELinux, основанного на inodes). Это требует root и не очень удобно, поэтому функция изменения профиля была добавлена ​​в AppArmor.

Я не уверен, но, как я понимаю, я думаю: нет.

Аппаргор может различать разные

  • заявление
  • путь к файловой системе
  • группа пользователей

Для того, чтобы иметь различное поведение apparmor в отношении различного профиля приложения, вам нужно создавать разных пользователей для каждого поведения аперсонов.

Как и андроид, для песочницы всех приложений под другим «пользователем».

  • Сохранены ли настройки браузера (firefox) / пароли при обновлении Ubuntu 14.04 до 16.04?
  • как сказать firefox отключиться от tty1?
  • Как я могу узнать, где находится firefox bin?
  • Как «исправить» Flash?
  • Как установить имя пользователя / пароль в Firefox при использовании прокси-сервера с auth?
  • Как перенаправить все запросы для localhost: 483 на localhost: 80 с dnsmasq
  • Как получить доступ к флеш-сайту, который отклоняет мой плагин (64-разрядный)?
  • Можно ли автоматически синхронизировать обновления закладки Firefox с файлом HTML?
  • Отключить вывод журнала на консоль
  • Ubuntu: восстановить не распечатываемый документ из кеша браузера
  • Как использовать плагин Java в Firefox 52 в Ubuntu?
  • Linux и Unix - лучшая ОС в мире.