LINUX.ORG.RU

ограничить функционал приложения?

 


0

2

Кто разбирается в apparmor или selinux, не нашел в гугле адекватного мана с примерами и подробным описанием синтаксиса.
Нужно.
Запрет голосовых вызовов для телеги и подобных.
Запрет делать скрины.
Запрет на доступ к информации о системе.


Думаю вам наверно тогда и запрет на доступ к диску нужен? И "для телеги и подобных" это не очень постановка задачи - все это может работать по-разному и просто так запретить все сразу не получится. Скриншоты тоже по-разному могут сниматься, там несколько вариантов вызовов.

Я бы предложил просто запустить нужный софт в контейнере. Если вам нужны готовые варианты с selinux то лучше, наверно, обратиться в /job - вряд-ли кто-то будет просто for fun с этим возиться.

micronekodesu ★★★
()

Ох, ТС, щас ты отхватишь от идиотов которые будут отправлять тебя в гугл поискать что такое «функционал» и чем отличается от «функциональности» (где ты на самом деле увидишь что в словаре допускаются разные значения первого), потом они тебе накидают ссылки на бложики всяких хипсторов, у которых будет тот же пустозвонный тезис, будут все это делать с видом образованных прилежных интеллектуалов, короче готовься.

Отец Аристарх (брат Аристоклия, дядя Доброжира)

anonymous
()

Попробуйте Firejail, но, вообще говоря, с этим всё плохо.

Запрет голосовых вызовов для телеги и подобных.

Здесь достаточно отключить проброс PulseAudio внутрь создаваемого Firejail контейнера.

Запрет делать скрины.

См. X11 SECURITY extension (--x11=xorg, но с ним накрывается даже буфер обмена и всё становится очень неудобно) и –x11=xpra (в контейнере запускается безголовый X-сервер и пробрасывается на хост по сети).

Запрет на доступ к информации о системе.

Это самая жесть, потому что информация о системе повсюду, а machine learning можно натренировать на любой фигне типа mtime /bin/bash. Что именно Вы хотите скрыть?

anonymous
()

А на системе будут запускаться приложения, которым будут доступны данные возможности?

Если собираетесь все приложения ограничить, то могу посоветовать сборку своего ядра, где все подобные интерфейсы и драйвера будут выпилены

Half-Lambda
()
26 марта 2021 г.

Если ещё интересует ответ. AppArmor ограничивает доступ на низком уровне: файлы, сокеты. Голосовой вызов в телеграме — это какая-то фича в протоколе телеграма, и AppArmor лезть в протокол не будет.

beroal
()
Ответ на: комментарий от anonymous

дядя Доброжира

У него еще есть злобный брат Жопыч

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.