Basicamente o título.
Tentei adicionar userns
a um perfil do AppArmor, mas parece que não funciona sem unconfined
sinalizador.
Então, posso fazer o seguinte perfil funcionar sem flags=(unconfined)
, e se não, por quê ?
abi <abi/4.0>,
include <tunables/global>
profile my-app /usr/lib/my-app/app flags=(unconfined) {
userns,
}
Minhas suposições sobre
userns
não funcionar estavam incorretas. Eu consegui controlar a permissão de namespaces de usuário de um pequeno programa de teste C com um perfil AppArmor acompanhante.Presumi que não funcionava porque o Firefox continuava reclamando sobre os recursos de segurança, a menos que
unconfined
o sinalizador fosse usado.