Exécuter un exécutable sous un profil AppArmor créé dynamiquement?
J'ai étudié la possibilité d'exécuter des commandes sous des profils AppArmor créés de manière dynamique sur mon serveur Ubuntu Server 16.04.1 LTS. Je cherche quelque chose de similaire à macOS sandbox-exec , sauf évidemment pour Linux.
Certaines recherches initiales ont semblé prometteuses, grâce à une commande appelée aa-exec.
Cependant, il semble que l'argument pour exécuter cette fonctionnalité ait été supprimé.
aa-exec: option non valide - 'f'
Cette version plus récente du manuel la page n'en fait aucune mention, et je suppose qu'elle a été supprimée dans cette version. Peut-être que cette fonctionnalité a été déplacée vers un autre utilitaire?
Est-ce qu'il y a un moyen de faire ça?
Je voudrais le faire sans accorder d’autorisation pour installer de nouveaux profils dans des zones privilégiées. Les solutions impliquant la compilation de mon propre code sont les bienvenues.
Jetez un coup d'œil à firejail, qui peut créer un bac à sable par application:
http://packages.ubuntu.com/search?keywords=firejail