我创建/root/example.sh于这里在主持人那里,并与 aa-genprof 一起否认了这一点。
# ./example.sh
This is an apparmor example.
./example.sh: line 5: /usr/bin/touch: Permission denied
File created
./example.sh: line 8: /bin/rm: Permission denied
File deleted
太棒了-它有效!
但如果我将它复制到容器中(在同一个/root文件夹中),它可以正常工作(没有任何限制)。
首先想到的是在容器上安装 apparmor,但是等等!容器内的某些进程登录到主机 syslog(postdrop 被拒绝访问 dynamicmaps.cd.d - 并且这个 postdrop 正在容器中运行!)。
所以我必须以某种方式将 example.sh 添加到主机 apparmor.d 中,并且它也应该影响所有容器......但是如何呢?