我正在尝试编写一个 apparmor 配置文件来防御通过 wine 运行的 Windows 恶意软件。据我所知,除非 wine 以 root 身份运行,否则 Windows 应用程序无法修改系统文件,但我想进一步将 Windows 程序限制为 ~/.wine 以保护用户文件,以便 Windows 程序:
1) 除非放置在 wine c 盘中,否则无法运行
2) 运行时,无法查看或与 ~/.wine 之外的任何文件交互
我读了这一页并且看起来我正在寻找关于在 wine-loader 和 wineserver 配置文件下运行所有程序的部分,但是因为我之前没有摆弄过 apparmor,所以我想确保这实际上是我应该使用的方法,以及我可能需要对那里的示例配置文件进行哪些更改才能使其正常工作。