.so-files/libraries およびアクセスする必要がある特定のディレクトリを除くすべてのファイルへのバイナリアクセスを拒否する AppArmor プロファイルが必要です。
#include <tunables/global>
/home/test/rust-api/target/debug/python-executor flags=(complain) {
# deny all outgoing network requests.
deny network inet,
deny network inet6,
deny network tcp,
deny network udp,
#deny writing and executing all files.
deny /** rwkx,
# allow .sp files.
allow /**.so*
# allow files for smem and unixsockets.
allow /home/test/rust-api/tmp/** rwk,
allow /home/test/rust-api/tmp/sockets/** rwk,
#allow reading python scripts in trading_algos.
allow /home/test/rust-api/trading_algos/** r,
}
deny /** rwkxすべてのファイルを拒否し、どのファイルが許可されるかを指定できるようです。ただし、AppArmorはまだすべてのファイルへのアクセスを拒否します。