Как AppArmor работает с непрофилированными программами?

Согласно http://wiki.apparmor.net FAQ любая программа, которая не имеет профиля, в основном не защищена / не ограничена и может нанести вред в Ubuntu почти так же, как не был любой AppArmor в первую очередь

Во-первых, фон AppArmor:

Модель безопасности AppArmor заключается в привязке атрибутов контроля доступа к программам, а не к пользователям.

Профили AppArmor могут работать в одном из двух режимов: принудительное исполнение и жалоба.

через вики-страницу Ubuntu Security Team

Итак, принудительное применение любых правил (для более подробной информации о что, посмотрите здесь ), и жалуйтесь, просто записывает попытки нарушить политику в системный журнал (большую часть времени).

Некоторые поддерживаемые профили:

• Cups (cupsd)
• MySQL (mysqld)
• Evince (программа просмотра PDF в Ubuntu - по умолчанию включена). [ 118]
• Firefox (будет отключен по умолчанию и будет включен для опытных пользователей)
• Apache (веб-сервер, ditto)
• , и этот список можно продолжить, но недостаточно долго. Полный список здесь.

Известные исключения:

• Chrom (ium) e. Хотя у них есть профиль AppArmor в их вики , похоже, никто его не использует.
• Я не видел сочувствия, пиджина или передачи в этом списке, или что-либо подобное им.

Наконец, кто-то еще задал похожий вопрос о резервном профиле для всего, что не определено.

Но ответ по умолчанию таков: если приложение не имеет профиля в AppArmor, оно будет иметь доступ ко всему - оно не будет помещено в «песочницу».

Тем не менее, 12.10 Chrome будет работать в изолированной программной среде seccomp-bpf, в которой модули перенесены из версии 3.5 ядра Linux в серию 3.2, которую 12.10 использует Canonical.

Довольно интересно, что @humanityANDpeace ответил отрицательно на вопрос, предоставив решение в другой ветке.

В любом случае, вот ответ для полноты картины:

profile default /** {
  #insert default profile rules here
}

Источник