Я пытаюсь ограничить доступ к сети / файловой системе программы.
#include <tunables/global>
/home/user/limited/test {
#include <abstractions/base>
#include <abstractions/consoles>
#include <abstractions/nameservice>
deny network inet,
deny network inet6,
deny network raw,
deny network packet,
/bin/echo ix,
@{HOME}/limited/** ix,
@{HOME}/limited/** rw,
}
Сеть заблокирована должным образом, но программа не может выполнять другие программы. В источнике C для тестового приложения, о котором идет речь, я написал код system("echo This is a test."); Он работал до настройки профиля AppArmor, но теперь это не так. Какую простую вещь мне не хватает? Любой вход приветствуется. Спасибо!