Если кто разбирался с томойо, знает что опция initialize_domain «program» from any, заставляет накладывать правило для процесса данного домена, в независимости от того как он был запущен.
Откуда бы я не запустил /bin/netstat (из sh, bash, sshd и тд), правило наложиться и зарубит все лишнее.
~$ /bin/netstat bash: /bin/netstat: Операция не позволяется
Каково же было мое удивление, когда попробовав запустить процесс через библиотеку динамической компоновки, почледний не только запустился но и наплевал на все ограничения «убежал» из песочницы томойо.
/lib64/ld-linux-x86-64.so.2 /bin/netstat
~$ /lib64/ld-linux-x86-64.so.2 /bin/netstat Active Internet connections (w/o servers)
То есть опция initialize_domain фактически не работает.
Разрабу японцу отписался. Тот флегматично ответил, «мол хреново конечно, блокируй /lib64/ld-linux-x86-64.so.2 и все дела»
Теперь меня интересует несколько вещей.
Какие еще варианты обхода томойо можно попробовать, может я еще чего не знаю?
Кто-нибуть использует иные mac системы? Например Appamor. Как они себя ведут в описанном варианте?
