<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Hello. <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Some time ago, I've decided to create a profile for the 'plugin-container' process to make a Firefox web browser even more secure. Everything seems to work okay. I've managed to "solve" the DENIED messages/entries from a system log files, such as e.g. '/var/log/kern.log' etc. <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Anyway, there is a one thing which wonders me: '/var/lib/dbus/machine-id'. According to the DENIED messages in a log files, there is something like this: <br><br>name="/var/lib/dbus/machine-id", denied mask 'r' <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">So, an AppArmor rule, to fix this issue, should contain e.g.: <br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">/var/lib/dbus/machine-id r, <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Am I right? But, "AppArmor Policy Reviews"[1] article, which contains a general advice when reviewing policy for AppArmor etc., mentions that '/var/lib/dbus/machine-id' should be denied. Short quote: <br><br>"Some programs may request access to the DBus system bus socket, but may not actually need it for normal functioning. In these cases, (...) the same may be the case for the dbus machine-id: <br><br>deny /var/lib/dbus/machine-id r," <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">According to all above what is the right direction? What should I do: allow 'r' for a machine-id or rather deny access  to this DBus system bus socket? What is yours opinions on this? <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">* Description: Ubuntu 12.04.5 LTS <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">* AppArmor (apparmor, apparmor-utils): 2.7.102-0ubuntu3.10 <br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Thanks, best regards.<br>_____________<br>[1] <a href="https://wiki.ubuntu.com/SecurityTeam/AppArmorPolicyReview">https://wiki.ubuntu.com/SecurityTeam/AppArmorPolicyReview</a><br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br><br></div></div>