我正在 AppArmor 中使用网络权限,并且尝试限制此脚本:
#!/bin/bash
curl $SOME_IP_ADDRESS
如果我这样做curl $MY_FULL_DOMAIN,AppArmor做阻止它,因为它似乎无法查找 IP 地址。 (我也注意到同样的 IP/主机名差异ping)。
我的个人资料是这样的:
#include <tunables/global>
/path/to/check_health.sh {
#include <abstractions/base>
#include <abstractions/bash>
deny network,
/path/to/check_health.sh r,
/usr/bin/ping mrix,
/usr/bin/curl mrix,
}
(注意明确的,尽管可能不必要deny network)
这是怎么回事?当仅使用 IP 时,这些程序是否会以某种方式跳过直接“网络”,并将请求发送到其他不受限制的程序监视的某个文件?或者,也许我的包含内容允许这样做,但我还没有找到任何东西。