AppArmor: 애플리케이션(Firefox, Thunderbird)당 여러 프로필을 가질 수 있나요? 통사론?

Question 1

AppArmor는 실행 파일을 통해 실행됩니다. Firefox가 다른 프로필을 로드했는지 확인할 수 없으므로 다른 AppArmor 프로필을 사용해야 합니다.

AppArmor는 지원합니다규칙을 바꾸다, 이는 애플리케이션을 허용합니다.적용되는 구성 파일을 변경하십시오.. 의도된 사용 사례는 애플리케이션이 초기화를 완료하고 이 특정 인스턴스에서 액세스해야 하는 항목을 결정한 후 더 제한적인 프로필로 전환할 수 있도록 허용하는 것입니다. 따라서 Firefox가 AppArmor를 인식하는 경우 change_profile규칙을 지정하고 실행할 프로필을 결정한 후 변환을 적용할 수 있습니다. 내가 아는 한, 이 일은 아직 이루어지지 않았습니다.

프로그래밍이 필요하지 않습니다. 실행 파일의 여러 복사본이나 하드 링크를 만들고 각 파일에 대해 서로 다른 구성 파일을 정의하면 됩니다 firefox-bin. AppArmor는 실행 파일의 경로를 기반으로 하므로 다른 하드 링크에서 동일한 경로를 사용할 필요가 없습니다. inode 기반의 SELinux와 다른 구성 파일입니다. 이를 위해서는 루트가 필요하고 불편하기 때문에 프로필 변경 기능이 AppArmor에 추가되었습니다.

Answer

AppArmor는 실행 파일을 통해 실행됩니다. Firefox가 다른 프로필을 로드했는지 확인할 수 없으므로 다른 AppArmor 프로필을 사용해야 합니다.

AppArmor는 지원합니다규칙을 바꾸다, 이는 애플리케이션을 허용합니다.적용되는 구성 파일을 변경하십시오.. 의도된 사용 사례는 애플리케이션이 초기화를 완료하고 이 특정 인스턴스에서 액세스해야 하는 항목을 결정한 후 더 제한적인 프로필로 전환할 수 있도록 허용하는 것입니다. 따라서 Firefox가 AppArmor를 인식하는 경우 change_profile규칙을 지정하고 실행할 프로필을 결정한 후 변환을 적용할 수 있습니다. 내가 아는 한, 이 일은 아직 이루어지지 않았습니다.

프로그래밍이 필요하지 않습니다. 실행 파일의 여러 복사본이나 하드 링크를 만들고 각 파일에 대해 서로 다른 구성 파일을 정의하면 됩니다 firefox-bin. AppArmor는 실행 파일의 경로를 기반으로 하므로 다른 하드 링크에서 동일한 경로를 사용할 필요가 없습니다. inode 기반의 SELinux와 다른 구성 파일입니다. 이를 위해서는 루트가 필요하고 불편하기 때문에 프로필 변경 기능이 AppArmor에 추가되었습니다.

Question 2

확실하지는 않지만 제가 이해한 바에 따르면 다음과 같습니다.아니요.

의류는 서로 다른 것을 구별할 수 있습니다.

애플리케이션
파일 시스템 경로
사용자 그룹

서로 다른 애플리케이션 프로필에 대해 서로 다른 의류 동작을 가지려면 각 의류 동작에 대해 서로 다른 사용자를 생성해야 합니다.

Android 샌드박스와 마찬가지로 모든 앱은 서로 다른 "사용자" 아래에 있습니다.

Answer

확실하지는 않지만 제가 이해한 바에 따르면 다음과 같습니다.아니요.

의류는 서로 다른 것을 구별할 수 있습니다.

애플리케이션
파일 시스템 경로
사용자 그룹

서로 다른 애플리케이션 프로필에 대해 서로 다른 의류 동작을 가지려면 각 의류 동작에 대해 서로 다른 사용자를 생성해야 합니다.

Android 샌드박스와 마찬가지로 모든 앱은 서로 다른 "사용자" 아래에 있습니다.

Question 3

사용할 수 있다로컬 파일, 또는별도의 프로필, 또는네임스페이스.

로컬 구성 파일은 다음과 같이 정의됩니다.

profile /usr/bin/firefox//some-name {
  …
}

연결되지 않은 프로필은 다음과 같이 정의됩니다.

profile Some.name {
  …
}

네임스페이스 구성 파일은 다음과 같이 정의됩니다.

profile :some-namespace:/usr/bin/firefox {
  …
}

비표준 프로필을 프로세스에 귀속시키는 것은 프로세스 자체(이미 답변한 대로)를 통해 또는 systemd( 서비스 단위에서 정의할 속성) change_profile의 도움을 통해 달성할 수 있습니다.AppArmorProfile=

Answer

사용할 수 있다로컬 파일, 또는별도의 프로필, 또는네임스페이스.

로컬 구성 파일은 다음과 같이 정의됩니다.

profile /usr/bin/firefox//some-name {
  …
}

연결되지 않은 프로필은 다음과 같이 정의됩니다.

profile Some.name {
  …
}

네임스페이스 구성 파일은 다음과 같이 정의됩니다.

profile :some-namespace:/usr/bin/firefox {
  …
}

비표준 프로필을 프로세스에 귀속시키는 것은 프로세스 자체(이미 답변한 대로)를 통해 또는 systemd( 서비스 단위에서 정의할 속성) change_profile의 도움을 통해 달성할 수 있습니다.AppArmorProfile=

Question 4

아주 간단해요, 친구. firefox-(putProfileNameHere)라는 하드 링크를 만듭니다.

cd /data/usr/lib/firefox/
sudo ln firefox /usr/bin/firefox-default
sudo ln firefox /usr/bin/firefox-1b58iygj
#etc etc etc

여러 App Armor 프로필을 만듭니다.

cd /etc/apparmor.d
cp usr.bin.firefox usr.bin.firefox-default
cp usr.bin.firefox usr.bin.firefox-1b58iygj
#etc etc etc

필요에 따라 각 구성 파일을 수정합니다.

/usr//share/applications에 다른 .desktop 파일을 생성하십시오(또는 Alacarte 또는 KDE와 같은 메뉴 관리자를 사용하십시오)??) 사용자 정의 바이너리 + 관련 구성 파일을 실행합니다.

firefox-default 
firefox-1b58iygj --profile /home/<yourUserID>/.mozilla/firefox/1b58iygj
#etc etc etc

재미있게 보내세요.

Answer