Задать вопрос
@dan0sss

Как при помощи AppArmor выдать доступ только к одной папке?

Есть скрипт /server/script.sh
Его содержимое: cat /var/log/abc
Конфиг AppArmor:
#include <tunables/global>

/server/script.sh {
  #include <abstractions/base>
  
  deny /*** rwk,
  
  /server/script.sh r,
  /server/** rw,
}


Нужно, чтобы у /server/script.sh был доступ только к папке /server, но при выполнении скрипта с этим конфигом он спокойно читает содержимое из /var/log
  • Вопрос задан
  • 100 просмотров
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 1
jcmvbkbc
@jcmvbkbc
"I'm here to consult you" © Dogbert
Нужно, чтобы у /server/script.sh был доступ только к папке /server, но при выполнении скрипта с этим конфигом он спокойно читает содержимое из /var/log

Невозможно на уровне ядра ОС отличить выполнение скрипта от выполнения интерпретатора этого скрипта. Ядро выполняет /bin/sh (или что у этого /server/script.sh написано в шебанге), а не сам /server/script.sh.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы