私は最近SELinuxとAppArmorについて学びたいと思い、シンプルさのためにAppArmorを使うことにしました。私はaa-genprofとaa-logprofを使っていくつかの設定ファイルを作成し始めましたが、firefoxなどの大規模プログラムは他の多くのバイナリを実行するので、各バイナリの設定ファイルを作成する時間はありません。唯一の解決策は他のバイナリを制限なく実行するように思われますが、これはこの問題が壊れるのを心配します。
それでは、制限されたプログラムが他の制限されていないプログラムを実行するようにしてもよいでしょうか?たとえば、攻撃者は新しいプロセスが制限されていないすべての権限にアクセスできますか?
編集:お子様のプロフィールのみを使用すると、お子様のプロフィールには親の必須機能に対する権限のみが必要なため、完全な内容を作成する必要がないことがわかりました。
編集:また、制限なしで実行されるスクリプトにPATH変数が設定されていない場合、攻撃者が制限された環境でPATHを設定し、必要なスクリプトと同じ名前のスクリプトを生成できるというリスクの1つがあるという記事も読みました。スクリプトの一つです。