AppArmorを介してネットワークへのアプリケーションアクセスを拒否する方法は?

AppArmorを介してネットワークへのアプリケーションアクセスを拒否する方法は?

環境:

OS: Debian GNU/Linux 9.3 (stretch)
Kernel parameter: security=apparmor

私のテストプロファイルは次のとおりです(aa-genprofで作成)。

/etc/apparmor.d/usr.bin.telnet.netkit

#include <tunables/global>

/usr/bin/telnet.netkit {
  #include <abstractions/base>

  /lib/x86_64-linux-gnu/ld-*.so mr,
  /usr/bin/telnet.netkit mr,

  deny network,
}

効果的な方法:

sudo systemctl reload apparmor.service

AppArmorステータス:

$ sudo aa-status | grep telnet
   /usr/bin/telnet
   /usr/bin/telnet.netkit

しかし、Telnetプログラムをテストするとき:

$ telnet.netkit 127.0.0.1 22
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
SSH-2.0-OpenSSH_7.4p1 Debian-10+deb9u2

ネットワークアクセスは拒否されません。

プロセスの状態は次のとおりです。

$ ps auxZ | grep -v unconfined | grep telnet
/usr/bin/telnet.netkit (enforce) test    10410  0.0  0.0  19504  2852 pts/1    S+   18:26   0:00 telnet.netkit 127.0.0.1 22

ネットワーク統計:

$ netstat -nap | grep telnet
(Not all processes could be identified, non-owned process info
 will not be shown, you would have to be root to see it all.)
tcp        0      0 127.0.0.1:56710         127.0.0.1:22            ESTABLISHED 10410/telnet.netkit

プロフィールに問題があるかどうかを判断するのに役立つ人はいますか?ありがとうございます!

答え1

私が正しく読んだのなら、Debianを実行しているのです。

問題は、Debianのカーネルにネットワーク接続をブロックするために必要なコードがないことです(D-Bus緩和と同じ)。パッチがメインラインではないからです(ただし、これを変更するための作業があることを知っています)。

関連情報