<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Hello Seth <br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">>> The ..//null-.. profiles are created by the kernel when a process <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">>> in a complain-mode profile executes another program. <br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">OK, I understand this, but the main xfce4-dict program was Enforced. The "//null-" profiles were showed in aa-status(8) command result. (It concerned the mentioned /usr/bin/enchant-lsmod and /usr/bin/enchant; see first message etc.)  <br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">As I already mentioned, everything has changed after convert "rix" to "mrix" mode for these two enchant's files. According to all of this, I would like to ask if it is okay? (I mean access mode change.)​ Can I use these rules? <br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">/usr/bin/enchant mrix, <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">/usr/bin/enchant-lsmod mrix, <br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">With "mrix" mode access, xfce4-dict is working as it should and there are no one "DENIED" entries in a log files etc. So? <br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">There is one more thing - an ".ecryptfs" folder. During profile creating and after, <span id="result_box" class="short_text" lang="en"><span class="">It turned out that the dictionary needs an access to "/home/.ecryptfs/" folder. Because, I see no reason for why xfce4-dict should have such access, I decided to deny/forbid this operation. And everything works normally - no "DENIED" entries in a log files, no problems with xfce4-dict etc. <br></span></span></div><div class="gmail_default" style="font-family:verdana,sans-serif"><span id="result_box" class="short_text" lang="en"><span class=""><br></span></span></div><div class="gmail_default" style="font-family:verdana,sans-serif"><span id="result_box" class="short_text" lang="en"><span class="">Have I made a good decision? What is your opinion, what really should I do in this case? <br></span></span></div><div class="gmail_default" style="font-family:verdana,sans-serif"><span id="result_box" class="short_text" lang="en"><span class=""><br></span></span></div><div class="gmail_default" style="font-family:verdana,sans-serif"><span id="result_box" class="short_text" lang="en"><span class="">By the way - which mode access should be used in AppArmor profile for requested_mask="rac" denied_mask="rac"? I'm asking, because there is a couple of entries, such as: <br></span></span></div><div class="gmail_default" style="font-family:verdana,sans-serif"><span id="result_box" class="short_text" lang="en"><span class=""><br></span></span></div><div class="gmail_default" style="font-family:verdana,sans-serif"><span id="result_box" class="short_text" lang="en"><span class="">✓ apparmor="ALLOWED" operation="open" profile="/usr/bin/xfce4-dict//null-/usr/bin/enchant" name="/home/user4859/.config/enchant/en_EN.dic" pid=3027 comm="enchant" requested_mask="rac" denied_mask="rac" fsuid=1000 ouid=1000 <br></span></span></div><div class="gmail_default" style="font-family:verdana,sans-serif"><span id="result_box" class="short_text" lang="en"><span class=""><br></span></span></div><div class="gmail_default" style="font-family:verdana,sans-serif"><span id="result_box" class="short_text" lang="en"><span class="">It is an exception from a log entry, created at the beginning. </span></span><br><span id="result_box" class="short_text" lang="en"><span class=""><span id="result_box" class="short_text" lang="en"><span class="">I was thinking about applying, for example, "rw" mode. Honestly, I don't know, but for now I use "rw" in xfce4-dict profile. I'm not pretty sure. <br></span></span></span></span></div><div class="gmail_default" style="font-family:verdana,sans-serif"><span id="result_box" class="short_text" lang="en"><span class=""><span id="result_box" class="short_text" lang="en"><span class=""><br></span></span></span></span></div><div class="gmail_default" style="font-family:verdana,sans-serif"><span id="result_box" class="short_text" lang="en"><span class=""><span id="result_box" class="short_text" lang="en"><span class="">Once again: what is your opinion? What should I do and which mode access should be used? <br></span></span></span></span></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Thanks, best regards. <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">.</div><div class="gmail_default" style="font-family:verdana,sans-serif">.<br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div></div>