Итак, мой первый трек включений не охватывал все ... Я не понимал, что некоторые абстракции также имеют свои собственные включения. Я открыл abstractions / ubuntu-browsers.d / firefox
и заметил подозрительный include abstractions / ubuntu-browsers.d / user-files
. Я открыл пользовательские файлы, и в них есть проблемная строка owner @ {HOME} / ** w
.На мой вкус, весь файл был слишком разрешающим, поэтому я полностью удалил пользовательские файлы
из абстракции firefox
, перезагрузил и вуаля!
Сделать все в HOME доступным для записи в абстракции (особенно той, которая используется другими абстракциями) звучит как ужасная идея. Я могу только сделать вывод, что профиль Firefox по умолчанию, предоставляемый Ubuntu, довольно бесполезен, обеспечивая лишь ложное ощущение безопасности.
Мораль истории? Тщательно протестируйте свои профили AppArmor, будьте осторожны с абстракциями и напишите свои собственные профили или действительно проверьте любой профиль, предоставленный третьей стороной.