我正在尝试沙箱化特定的 Python进程,只允许它访问网络通信和文件系统上的一些选定文件.我按照 the Ubuntu community docs site的指示和Chromium项目的 article on their sandboxing.

但是,我只想阻止一些Python进程.为了解决这个问题,我将Python可执行文件符号链接到另一个位置(称之为python sandBox)并将AppArmor配置文件应用于它.

当我启动python-sandBox时,我仍然能够在文件系统上打开任意文件并从中读取.怎么了？
我做了以下事情：

创建AppArmor配置文件如下：

#include <tunables/global>
/opt/python-sandBox {
    #include <abstractions/base>
    #include <abstractions/fonts>
    /proc/** r,/usr/lib/python2.7/** r,/usr/local/lib/python2.7/** r,network,}

使用名称opt.python-sandBox将其复制到/etc/apparmor.d/目录中(因为符号链接是/ opt / python-sandBox.

运行apparmor_parser /etc/apparmor.d/opt.python-sandBox.

我做错什么了吗？我应该考虑另一种方法吗？