AppArmorはネットワーク権限を使用しており、このスクリプトを制限しようとしています。
#!/bin/bash
curl $SOME_IP_ADDRESS
これによりcurl $MY_FULL_DOMAIN
AppArmorするIPアドレスが見つからないようなのでブロックします。 (また、同じIP /ホスト名の違いを発見しましたping
)。
私のプロフィールは次のとおりです。
#include <tunables/global>
/path/to/check_health.sh {
#include <abstractions/base>
#include <abstractions/bash>
deny network,
/path/to/check_health.sh r,
/usr/bin/ping mrix,
/usr/bin/curl mrix,
}
(必ずしも必要ではありませんが、明示的に参考にしてくださいdeny network
)
どうなりますか? IPのみを使用する場合、これらのプログラムは直接「ネットワーク」をスキップし、他の制限されていないプログラムによって監視されるいくつかのファイルに要求を送信しますか?または私のインクルードはこれを許可するかもしれませんが、まだ何も見つかりませんでした。