これは正しいアプローチではありません。
一般に、ブラックリストはセキュリティ ポリシーの基盤として不適切です。ホワイトリストに基づいている必要があります。AppArmor の構文はこれに基づいています。そのためには、プロファイルに詳細を設定せずに開始する必要がありますが、プロファイル アクションを強制するのではなく、不平を言うように設定します。これはプロファイルで設定できます (flags=(complain) ) または aa-complain コマンドを使用します。その場合、操作を許可する特定のディレクティブは冗長になります。
信頼できるドキュメントは、SuSE によって公開されているものだと思います。ただし、簡単に言うと、ファイル アクセスの構成形式は次のとおりです。
<object> <permissions>,
オブジェクトのグロビング (パスの場合) は、コマンド ラインで慣れ親しんだものとは少し異なることに注意してください。ここにはさらに dbus 固有のものがあります。
<ブロック引用>
しかし、allow *, は 「すべて許可」の正しい構文
allow everything の正しい構文は次のようになります:
profile DAC /path/to/exec {
# Allow all rules
capability,
network,
mount,
remount,
umount,
pivot_root,
ptrace,
signal,
dbus,
unix,
file,
}
実際には、さらに 2 つのルールがあります:
<オール>rlimit (AppArmor は、プロファイルに関連付けられたリソース制限を設定および制御できます)change_profile (制限されたタスクが移行できるプロファイルの権限を制御します)しかし、この特定のケースでは意味がありません.