使用AppArmor创建Linux“沙箱”
发布时间:2020-12-14 02:48:51 所属栏目:Linux 来源:网络整理
导读:我正在尝试沙箱化特定的 Python进程,只允许它访问网络通信和文件系统上的一些选定文件.我按照 the Ubuntu community docs site的指示和Chromium项目的 article on their sandboxing. 但是,我只想阻止一些Python进程.为了解决这个问题,我将Python可执行文件符
|
我正在尝试沙箱化特定的
Python进程,只允许它访问网络通信和文件系统上的一些选定文件.我按照
the Ubuntu community docs site的指示和Chromium项目的
article on their sandboxing.
但是,我只想阻止一些Python进程.为了解决这个问题,我将Python可执行文件符号链接到另一个位置(称之为python sandbox)并将AppArmor配置文件应用于它. 当我启动python-sandbox时,我仍然能够在文件系统上打开任意文件并从中读取.怎么了? 创建AppArmor配置文件如下: #include <tunables/global>
/opt/python-sandbox {
#include <abstractions/base>
#include <abstractions/fonts>
/proc/** r,/usr/lib/python2.7/** r,/usr/local/lib/python2.7/** r,network,}
使用名称opt.python-sandbox将其复制到/etc/apparmor.d/目录中(因为符号链接是/ opt / python-sandbox. 运行apparmor_parser /etc/apparmor.d/opt.python-sandbox. 我做错什么了吗?我应该考虑另一种方法吗? 解决方法
啊哈!我错过了什么.显然,众所周知,AppArmor通常不能用于符号链接.将Python可执行文件复制到/ opt / python-sandbox工作正常.
(编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |