Questo non è l'approccio giusto.
In generale, l'inserimento nella lista nera è una base scadente per una politica di sicurezza - dovrebbe essere basata sull'inserimento nella lista bianca - e la sintassi di AppArmor si basa su questo. A tal fine, dovresti iniziare senza specifiche nel profilo, ma impostare l'azione del profilo su reclamo anziché imporre. Puoi impostarlo nel profilo (flags=(complain) ) o utilizzando il comando aa-complain. Quindi le direttive specifiche per consentire un'operazione diventano ridondanti.
Credo che la documentazione autorevole sia quella pubblicata da SuSE. Ma, brevemente, per l'accesso ai file il formato di configurazione è:
<object> <permissions>,
Nota che il globbing nell'oggetto (se è un percorso) è leggermente diverso da quello che potresti avere familiarità con la riga di comando. Ci sono altre cose specifiche per dbus qui.
Ma è il
allow *,una sintassi corretta per 'consenti tutto'
Sintassi corretta per consentire tutto sembra:
profile DAC /path/to/exec {
# Allow all rules
capability,
network,
mount,
remount,
umount,
pivot_root,
ptrace,
signal,
dbus,
unix,
file,
}
In realtà, ci sono altre due regole:
rlimit(AppArmor può impostare e controllare i limiti delle risorse associate a un profilo)change_profile(controlla a quali autorizzazioni per quali profili può passare un'attività confinata)
Ma non ha alcun significato in questo caso particolare.