AppArmor - подсистема ограничения доступа к объектам (файлам и директориям) на основе имён. Работает в двух режимах - enforce или complain.
apt install apparmor-utils apparmor-profiles - установка дополнительных инструментов и профилей.
/etc/apparmor.d/ - директория, в которой хранятся профили приложений.
/usr/share/doc/apparmor-profiles/extras - директория, в которой хранится дополнительный набор профилей.
apparmor_status - отображение состояния системы и профилей.
aa-enforce <приложение> - включение режима enforce для выбранного приложения
aa-complain <приложение> - включение режима complain для выбранного приложения
r - разрешить чтение
w - разрешить запись
a - разрешить запись в конец файла
px - разрешить запуск новых процессов если для них есть профиль
Px - разрешить запуск новых процессов, если для них есть профиль и стереть переменные окружения
ix - разрешить запуск нового процесса под профилем текущего
m - разрешить загружать исполняемые файлы в память и запускать
l - разрешить создавать символические ссылки на исполняемые файлы
k - разрешить блокировать файлы
ux - не контролировать новые процессы
Ux - не контролировать новые процессы и очистить переменные окружения.
/path/to/object <option> - синтаксис разрешений в профиле.