以下 AppArmor 配置文件允许程序myprog读取位于 的用户配置文件~/.myprogrc。
abi <abi/3.0>,
include <tunables/global>
profile myprog /usr/bin/myprog {
include <abstractions/base>
owner @{HOME}/.myprogrc r,
}
如果用户已创建~/.myprogrc指向实际配置文件的符号链接(例如ln -s ~/Documents/myprog-config ~/.myprogrc),则 AppArmor 将拒绝myprog访问该~/.myprogrc符号链接指向的文件。如何编写 AppArmor 规则,以便myprog能够读取符号~/.myprogrc链接指向的用户主目录中的任何文件?
(AppArmor 版本 3.0.8,操作系统:Debian 12)