AppArmor에서 네트워크 권한을 사용하고 있으며 이 스크립트를 제한하려고 합니다.
#!/bin/bash
curl $SOME_IP_ADDRESS
이렇게 하면 curl $MY_FULL_DOMAIN
AppArmor하다IP 주소를 찾을 수 없는 것 같아서 차단합니다. (또한 동일한 IP/호스트 이름 차이를 발견했습니다 ping
).
내 프로필은 다음과 같습니다.
#include <tunables/global>
/path/to/check_health.sh {
#include <abstractions/base>
#include <abstractions/bash>
deny network,
/path/to/check_health.sh r,
/usr/bin/ping mrix,
/usr/bin/curl mrix,
}
(꼭 필요한 것은 아니지만 명시적으로 참고하세요 deny network
)
어떻게 되어가나요? IP만 사용할 때 이러한 프로그램이 직접 "네트워크"를 건너뛰고 다른 제한되지 않은 프로그램에서 모니터링하는 일부 파일에 요청을 보내나요? 아니면 내 포함이 이를 허용할 수도 있지만 아직 아무것도 찾지 못했습니다.