Vraag Hoe blokkeer ik internet voor een app met een apparmor aangepast profiel?


Ik probeer internettoegang voor een app te blokkeren, omdat deze altijd om een ​​aankoop of update vraagt, ook al is deze gratis. Ik heb een apparmor-profiel voor die app gemaakt en deze afgedwongen, maar na de uitvoering start de app niet.

Dit is het profiel in /etc/apparmor.d/opt.sublime_text.sublime_text:

/opt/sublime_text/sublime_text {

        deny network inet,
        deny network inet6,
        deny network raw,  #include <abstractions/base>

        /opt/sublime_text/sublime_text mr,
        /opt/sublime-text/ rw,
        /home/shady/.config/sublime-text-3/ rw,
}

Ik heb de mappen opgenomen die deze app mogelijk nodig heeft. Wat doe ik verkeerd?


3
2018-04-14 10:30


oorsprong




antwoorden:


U hebt veel meer nodig om dit type app te starten. Als er iets ontbreekt in uw profiel, heeft het daar geen toegang toe. Sublimetext moet toegang hebben tot zaken als:

  • X-server
  • systeemlettertypen
  • Xauthority-bestand
  • dconf
  • welbespraakt
  • enz ...

De beste en gemakkelijkste manier om uw eigen profiel te maken is om te installeren apparmor-utils

sudo apt-get install apparmor-utils

maak vervolgens je profiel aan met behulp van de tool voor het genereren van profielen:

sudo aa-genprof /opt/sublime_text/sublime_text  

Op dit moment maakt het sublimetext-profiel in /etc/apparmor.d/ en luistert naar programma-acties. Dit profiel staat in complain mode en het logt naar /var/log/syslog. Nu moet u uw sublimetekst starten en een aantal acties uitvoeren zoals het openen en opslaan van bestanden, enz. Al deze acions worden opgeslagen in een logbestand dat wordt gebruikt door aa-genprofvoor het maken van regels. Als je klaar bent met activiteiten raken s sleutel en antwoord voor vragen over toegang of ontkennen naar uw bronnen. Gebruik als je klaar bent f sleutel voor het opslaan van uw nieuwe profiel en het toewijzen enforce modus.


Het is echter vrij eenvoudig dat deze tool niet perfect werkt. Het zal niet alles bevatten en je moet iets handmatig toevoegen zoals toegang tot X
In /etc/apparmor.d/opt.sublime_text.sublime_text:

include <abstractions/X>  

Als er wijzigingen zijn aangebracht, moet je het configuratiebestand opnieuw laden:

sudo apparmor_parser r /etc/apparmor.d/opt.sublime_text.sublime_text      

2
2018-04-15 09:35