我想要一个 AppArmor 配置文件,它拒绝对除 .so-files/libraries 和它需要访问的特定目录之外的所有文件进行二进制访问。
#include <tunables/global>
/home/test/rust-api/target/debug/python-executor flags=(complain) {
# deny all outgoing network requests.
deny network inet,
deny network inet6,
deny network tcp,
deny network udp,
#deny writing and executing all files.
deny /** rwkx,
# allow .sp files.
allow /**.so*
# allow files for smem and unixsockets.
allow /home/test/rust-api/tmp/** rwk,
allow /home/test/rust-api/tmp/sockets/** rwk,
#allow reading python scripts in trading_algos.
allow /home/test/rust-api/trading_algos/** r,
}
我想我可以deny /** rwkx拒绝所有文件,然后指定允许哪些文件。但 AppArmor 仍然拒绝访问所有文件。