Ini bukan pendekatan yang tepat.
Secara umum, daftar hitam adalah dasar yang buruk untuk kebijakan keamanan - ini harus didasarkan pada daftar putih - dan sintaks AppArmor didasarkan pada hal ini. Untuk itu, Anda harus mulai dengan tidak spesifik di profil, tetapi tetapkan tindakan profil untuk mengeluh, bukan menegakkan. Anda dapat mengatur ini di profil (flags=(complain) ) atau menggunakan perintah aa-complain. Kemudian arahan khusus untuk mengizinkan operasi menjadi mubazir.
Saya percaya dokumentasi otoritatif adalah yang diterbitkan oleh SuSE. Namun singkatnya, untuk akses file format konfigurasinya adalah:
<object> <permissions>,
Perhatikan bahwa objek globbing (jika itu adalah jalur) sedikit berbeda dari apa yang mungkin Anda kenal di baris perintah. Ada lebih banyak hal khusus dbus di sini.
Tapi apakah
allow *,sintaks yang benar untuk 'izinkan semuanya'
Sintaks yang benar untuk mengizinkan semuanya terlihat seperti:
profile DAC /path/to/exec {
# Allow all rules
capability,
network,
mount,
remount,
umount,
pivot_root,
ptrace,
signal,
dbus,
unix,
file,
}
Sebenarnya, ada dua aturan lagi:
rlimit(AppArmor dapat menyetel dan mengontrol batas sumber daya yang terkait dengan profil)change_profile(mengontrol izin mana untuk profil mana tugas terbatas dapat dialihkan)
Tapi itu tidak ada artinya dalam kasus khusus ini.