当AppArmor时,NoNewPrivileges=no拒绝执行“没有新的特权”
当AppArmor时,NoNewPrivileges=no拒绝执行“没有新的特权”
提问于 2021-05-27 11:48:19
在试图限制我的Python应用程序之后,我一直在点击这些AppArmor消息
[ 1808.635237] audit: type=1400 audit(1600600443.250:50): apparmor="DENIED" operation="exec"
info="no new privs" error=-1 profile="/var/www/localhost/fastcgi/api.py"
name="/usr/bin/python3" pid=5672 comm="api" requested_mask="x" denied_mask="x" fsuid=42 ouid=0使用此配置文件(由aa-logprog生成)
#include <tunables/global>
profile /var/www/localhost/fastcgi/api.py flags=(attach_disconnected) {
#include <abstractions/base>
# Python:
/usr/bin/python3{,.[7-9]} Cx,
^/usr/bin/python3{,.[7-9]} flags=(attach_disconnected) {
#include <abstractions/base>
/usr/bin/python3{,.[7-9]} mr,
}
}Api是系统服务。在阅读了这个帖子之后,我注意到api.service确实有NoNewPrivileges=yes集。因此,我将其更改为NoNewPrivileges=no (并重新加载了服务),但这并没有改变任何事情。行为还是完全一样的。
是的,一旦任务没有新的特权,就不允许更改它的配置文件,并可能增加它的特权。有一个例外是无约束状态,因为任何配置文件转换都是特权的减少。因此,在ix (继承当前限制)和堆叠时,您将有两个潜在的转换。堆叠可能不是你想要的,因为它保留了当前的限制,并在顶部增加了额外的限制。
你知道还有什么会导致info="no new privs"吗
回答 1
Stack Overflow用户
回答已采纳
发布于 2021-05-27 16:14:04
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/67721515
复制相关文章
相似问题
腾讯云开发者
