Estou executando o Ubuntu 16.04 com apparmor 2.10.95-0ubuntu2.7. Muitas vezes preciso comentar sobre software de qualidade duvidosa. Eu quero empregar apparmor para proteger meu sistema de danos.
Eu criei um perfil curinga apparmor como este:
/home/username/testing/** {
somerules
}
Infelizmente, este perfil não tem efeito. Funciona como esperado assim que coloco o caminho exato sem curinga:
/home/username/testing/client42/executable {
somerules
}
Na página de manual, parece que globbing é suportado para perfis:
PROFILE = ( PROFILE HEAD ) [ ATTACHMENT SPECIFICATION ] [ PROFILE FLAG CONDS ] '{' ( RULES )* '}'
PROFILE HEAD = [ 'profile' ] FILEGLOB | 'profile' PROFILE NAME
Este artigo da wiki também diz isso. Existe até um usuário relatando sucesso .
o que estou perdendo?
Os curingas nos perfis precisam ser habilitados explicitamente em um arquivo de configuração?
O globbing está desativado na compilação do Ubuntu?
Consertando esse problema hoje, descobri que o perfil curinga funcionava conforme o esperado após uma reinicialização. Parece que definir o perfil para impor o modo
aa-enforce /etc/apparmor.d/<profile>ou recarregar o perfilapparmor_parser -r /etc/apparmor.d/<profile>conforme descrito aqui e aqui não é suficiente para perfis curinga. Não tenho certeza se recarregar o serviço viasystemctl reload apparmoré suficiente para ativar o perfil curinga, mas uma reinicialização do sistema definitivamente é.