Назад | Перейти на главную страницу

AppArmor: Как применять разные профили для одного и того же исполняемого файла в соответствии с UID?

Я бы хотел посадить в тюрьму моих (chrooted) рабочих пула php-fpm, используя AppArmor. Поскольку каждый пул работает под отдельным UID, я хотел бы применить разные профили AppArmor для рабочих, чтобы рабочий процесс мог получить доступ только к файлам в корне документов своего собственного пула, а не к корням других пулов.

Проблема в том, что все рабочие php-fpm запускают один и тот же двоичный файл (/ usr / sbin / php5-fpm), поэтому профиль как

/usr/sbin/php5-fpm {
    (...)
}

будет применяться ко всем экземплярам, ​​то есть ко всем работникам пула.

Возможным решением моей конкретной проблемы могло бы быть использование owner условные правила для корневых путей документа, но мне интересно, нет ли вообще возможности иметь разные профили для нескольких экземпляров одного и того же двоичного файла с AppArmor.