<div class="gmail_quote">On Wed, Dec 21, 2011 at 11:52 AM, Jamie Strandboge <span dir="ltr"><<a href="mailto:jamie@canonical.com">jamie@canonical.com</a>></span> wrote:<br><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
We could make the apparmor helper for upstart an integral part of<br>
Upstart such that when a job is started, Upstart automatically loads<br>
policy for the executable. This is an interesting option, but seems to<br>
require considerable work. It solves the non-discoverability problem as<br>
well as time on distribution integration work, but does not obviate the<br>
need for the second stage.<br>
<br></blockquote><div><br></div><div>This need not be an integral part, and can be accomplished with a simple job:</div><div><br></div><div>  start on starting</div><div>  # note no job name, we get that as $JOB in our script</div>
<div><br></div><div>  task</div><div>  pre-start exec test -f /etc/apparmor.d/cache/$JOB</div><div>  exec apparmor-stuff</div><div><br></div><div>This will be run for every job started by Upstart, and block each one until complete</div>
<div><br></div><div>Scott</div></div>