Я изучал возможность запуска команд в динамически создаваемых профилях AppArmor на моем Ubuntu Server 16.04.1 LTS. Я ищу что-то похожее на macOS sandbox-exec , за исключением, очевидно, для Linux.
Некоторое первоначальное исследование показало некоторое обещание от команды под названием aa-exec
.
Тем не менее, похоже, что аргумент для выполнения этой функции был удален.
aa-exec: неверный параметр - 'f'
Эта новая страница руководства не упоминает об этом, и я полагаю, что она была удалена в этой версии. Возможно, эта функция была перенесена в другую утилиту?
Есть какой-либо способ сделать это?
Я хотел бы сделать это без предоставления разрешений на установку новых профилей в привилегированных областях. Решения, включающие компиляцию собственного кода, приветствуются.
-f
Вариант был удален , когда они перешли к C, документированы здесь . Что-то о предотвращении запуска вещей от имени root.