Вопрос Как заблокировать Интернет для приложения, используя настраиваемый профиль apparmor?


Я пытаюсь заблокировать доступ к Интернету для приложения, потому что он всегда запрашивает покупку или обновление, даже если он бесплатный. Я создал профиль apparmor для этого приложения и принудительно его применял, но после принудительного применения приложение не запускается.

Это профиль в /etc/apparmor.d/opt.sublime_text.sublime_text:

/opt/sublime_text/sublime_text {

        deny network inet,
        deny network inet6,
        deny network raw,  #include <abstractions/base>

        /opt/sublime_text/sublime_text mr,
        /opt/sublime-text/ rw,
        /home/shady/.config/sublime-text-3/ rw,
}

Я включил каталоги, которые могут понадобиться для этого приложения. Что я делаю не так?


3
2018-04-14 10:30


происхождения




ответы:


Вам нужно гораздо больше запустить этот тип приложения. Когда в вашем профиле чего-то не хватает, у него нет доступа к нему. Sublimetext должен иметь доступ к таким вещам, как:

  • X-сервер
  • системные шрифты
  • Файл Xauthority
  • dconf
  • бойкий
  • и т.д ...

Самый лучший и простой способ создать свой собственный профиль - установить apparmor-utils

sudo apt-get install apparmor-utils

затем создайте свой профиль, используя инструмент создания профиля:

sudo aa-genprof /opt/sublime_text/sublime_text  

В этот момент он создает профиль sublimetext в /etc/apparmor.d/ и слушает действия программы. Этот профиль находится в complain режиме, и он записывается в /var/log/syslog, Теперь вам нужно запустить ваш sublimetext и сделать некоторые действия, такие как открытие и сохранение файлов и т. Д. Все эти айоны будут сохранены в файле журнала, который используется aa-genprofдля создания правил. Когда вы закончите работу s ключ и ответ на вопросы о доступ или Отрицать к вашим ресурсам. Когда это будет сделано f ключ для сохранения вашего вновь созданного профиля и превращения его в enforce Режим.


Однако это очень просто, что этот инструмент не работает отлично. Он не будет включать все, и вы должны добавить что-то вручную, как доступ к X
В /etc/apparmor.d/opt.sublime_text.sublime_text:

include <abstractions/X>  

Если какие-либо изменения были внесены, вам необходимо перезагрузить файл конфигурации:

sudo apparmor_parser r /etc/apparmor.d/opt.sublime_text.sublime_text      

2
2018-04-15 09:35