使用 IP 地址时,AppArmor 不会阻止curl/ping 网络

使用 IP 地址时,AppArmor 不会阻止curl/ping 网络

我正在 AppArmor 中使用网络权限,并且尝试限制此脚本:

#!/bin/bash
curl $SOME_IP_ADDRESS

如果我这样做curl $MY_FULL_DOMAIN,AppArmor阻止它,因为它似乎无法查找 IP 地址。 (我也注意到同样的 IP/主机名差异ping)。

我的个人资料是这样的:

#include <tunables/global>

/path/to/check_health.sh {
    #include <abstractions/base>
    #include <abstractions/bash>
    deny network,
    /path/to/check_health.sh r,
    /usr/bin/ping mrix,
    /usr/bin/curl mrix,
}

(注意明确的,尽管可能不必要deny network

这是怎么回事?当仅使用 IP 时,这些程序是否会以某种方式跳过直接“网络”,并将请求发送到其他不受限制的程序监视的某个文件?或者,也许我的包含内容允许这样做,但我还没有找到任何东西。

相关内容