<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Hi Christian,<br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">So, if "c" means create file/directory then if AppArmor audit <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">entries (for example from log files etc.) contains something like <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">this: <br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">operation="mkdir", requested_mask="c", denied_mask="c" <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Then, rule in an AppArmor application profile should look like: <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">/home/user/.app/ w, <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Am I right? That should be enough? You wrote: for file 'a' (append) <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">permission might be enough, right? So, instead of 'w' (see above) <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">I should use 'a'? Of course if 'operation' will be responsible for <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">file creation. <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">>> That means executing another binary. <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">>> Depending on what gets executed, you can choose (...) <br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">You've asked about what gets executed. Let say, that it is, for <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">example: <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">operation="exec", requested_mask="x", denied_mask="x" <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">It concerns /usr/bin/pulseaudio and /usr/lib/firefox/plugin-container. <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">So, which permission should be okay in this example: 'ix', 'Cx'? <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Or maybe another one? Sorry for such naive question, but... I <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">want to create a secure profile. <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Thank You very much for an informations about 'aa-logprof' and <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">man for 'apparmor.d'. (I checked it already, but I will do it one <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">more time). Definitely, I will check "AppArmor Crash Course" <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">and slides at <a href="http://blog.cboltz.de">blog.cboltz.de</a> etc. <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Best regards.<br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div></div>