<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Hi.<br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">I would like to ask about AppArmor profile and a system log files <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">such as, for example, /var/log/syslog etc. Let say, that I wrote a <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">profile for an application, which 'audit' entries in log files contains <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">something like this (of course, I omitted the whole 'audit'): <br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br>* requested_mask="c" denied_mask="c" <br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">I have to say, that it is "DENIED" action for 'mkdir' operation in <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">/home/user/.app/ directory. But that is not the point. So, what "c" <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">exactly means? If I would like to add a rule to the AppArmor <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">profile what should I use? I mean: 'r', 'w', 'x', or maybe 'l', 'k', <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">'m'? Or maybe something completely different, like: <br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">* /usr/bin/xyz Cx -> sanitized_helper, <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Generally: what does "c" and "x" exactly means? (In AppArmor <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">audit messages). In conclusion: what rules should I use in an <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">application profile, if in log files there is, for example, 'audit' <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">messages like this one:<br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">1/ operation="mkdir", requested_mask="c", denied_mask="c" <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">2/ operation="exec", requested_mask=x", denied_mask="x" <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">So, how a correct entries, in the profile, should look like? <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Best regards. <br></div><div class="gmail_default" style="font-family:verdana,sans-serif"> <br></div></div>