Почему нет профиля Apparmor для терминала?
Я понимаю, что профили Apparmor полезны для защиты программ, имеющих доступ к Интернету. Отсюда и вопрос. Я не вижу здесь никакого «терминального» профиля .
1 ответ
Терминалу не нужен профиль. По умолчанию терминал ничего не делает. Bash (по умолчанию) - это команда, позволяющая получить доступ к оболочке (ужасно сформулированная, но достаточно точная для этого ответа). Оттуда вы можете запускать другие программы. Таким образом, любой профиль против терминала будет абсолютно бесполезным (поскольку он не имеет доступа ни к чему другому, кроме своих файлов настроек).
Имейте в виду, что AppArmor в основном является дополнением к уже существующей безопасности. Если вы не хотите, чтобы терминал имел доступ к файлу, вы можете создать свой собственный профиль и настроить его.
Как вы можете видеть в cat /etc/apparmor.d/usr.sbin.tcpdump, tcpdump (команда, которую вы запускаете из bash внутри терминала) имеет профиль. Вот как бы вы «обезопасили» команды.
Также, в cat /etc/apparmor.d/abstractions/bash вы увидите, что у bash есть профиль. Таким образом, «терминал» защищен.