Este no es el enfoque correcto.
En general, la inclusión en la lista negra es una base deficiente para una política de seguridad (debe basarse en la inclusión en la lista blanca) y la sintaxis de AppArmor se basa en esto. Con ese fin, debe comenzar sin detalles en el perfil, pero configure la acción del perfil para quejarse en lugar de hacer cumplir. Puede configurar esto en el perfil (flags=(complain) ) o usando el comando aa-complain. Entonces las directivas específicas para permitir una operación se vuelven redundantes.
Creo que la documentación autorizada es la publicada por SuSE. Pero, brevemente, para el acceso a archivos, el formato de configuración es:
<object> <permissions>,
Tenga en cuenta que el objeto englobado (si es una ruta) es ligeramente diferente de lo que puede estar familiarizado en la línea de comando. Hay más cosas específicas de dbus aquí.
Pero es el allow *, una sintaxis correcta para 'permitir todo'
La sintaxis correcta para permitir que todo se vea así:
profile DAC /path/to/exec {
# Allow all rules
capability,
network,
mount,
remount,
umount,
pivot_root,
ptrace,
signal,
dbus,
unix,
file,
}
En realidad, hay dos reglas más:
rlimit(AppArmor puede establecer y controlar los límites de recursos asociados con un perfil)change_profile(controle a qué permisos para qué perfiles puede pasar una tarea confinada)
Pero no tiene sentido en este caso particular.