Частично разрешать/отслеживать символические ссылки при подстановке в zsh/Bash

Конечно, технически это возможно... но это не самый эффективный способ работы.

Если вы сначала разрешите все, вам придется продолжать гадать, что было бы хорошо запретить. Вы будете эффективно работать вслепую.

Если вы сначала запретите все, вы получите сообщения об ошибках программы, содержащие информацию о том, что программа пытается сделать и терпит неудачу (, вероятно, из-за чрезмерно строгих правил AppArmor ). Вы также получите сообщения в журнале системного аудита, в которых будет указано, что именно AppArmor помешал программе сделать, что будет большим подспорьем в разрешении именно того, что нужно программе, и не более того.

Обратите внимание, что профили AppArmor также можно настроить в режиме жалоб :. В этом режиме AppArmor на самом деле не будет мешать программе выполнять какие-либо действия, а будет генерировать сообщения журнала аудита , как если бы это было так. Итак, если вам нужно свести к минимуму сбои в работе конкретного приложения, для которого вы разрабатываете профиль AppArmor, вы можете начать с профиля «разрешить -ничего» в режиме жалоб, просмотреть полученный журнал аудита,добавьте правила, чтобы разрешить вещи, которые выглядят законными и в настоящее время генерируют сообщения аудита, и продолжайте итерацию таким образом, пока любые сообщения аудита об этом приложении не будут касаться того, что вы не хотите, чтобы приложение делало в первую очередь.

В этот момент вы можете быть достаточно уверены в том, что профиль AppArmor либо полностью верен, либо очень близок к нему, и можете переключить его в принудительный режим, где фактически применяются ограничения AppArmor. В этот момент разумно провести некоторое тестирование, на случай, если вы что-то пропустили... но после этой процедуры вы можете быть вполне уверены, что полученный профиль не допустит случайно чего-то опасного, о чем вы не подумали..