AppArmor는 특정 파일을 제외한 모든 파일을 거부합니다.

tag-icon tag-icon apparmor
AppArmor는 특정 파일을 제외한 모든 파일을 거부합니다.

.so-files/libraries 및 액세스해야 하는 특정 디렉터리를 제외한 모든 파일에 대한 바이너리 액세스를 거부하는 AppArmor 프로필이 필요합니다.

#include <tunables/global>

/home/test/rust-api/target/debug/python-executor flags=(complain) {
    # deny all outgoing network requests.
    deny network inet,
    deny network inet6,
    deny network tcp,
    deny network udp,

    #deny writing and executing all files.
    deny /** rwkx,
    
    # allow .sp files.
    allow /**.so*

    # allow files for smem and unixsockets.
    allow /home/test/rust-api/tmp/** rwk,
    allow /home/test/rust-api/tmp/sockets/** rwk,
    
    #allow reading python scripts in trading_algos.
    allow /home/test/rust-api/trading_algos/** r,
}

deny /** rwkx모든 파일을 거부하고 어떤 파일이 허용되는지 지정할 수 있을 것 같습니다 . 그러나 AppArmor는 여전히 모든 파일에 대한 액세스를 거부합니다.

관련 정보