История изменений
Исправление PeachBlossoms, (текущая версия) :
если под какую то прогу нет профиля то аппармор её никак ни в чем не ограничит
Если она запускается процессом, который сам работает в режиме unconfined (и нет профиля для запускаемой программы), то так и есть. Но можно, например, создать профиль для bash, или для графического окружения рабочего стола, и тогда он будет применяться и к запускаемым программам.
В селинуксе как я понял не так - в режиме enforcing будет запрещено всё что не разрешено явно, если под какую то прогу нет профиля (только в селинксе не профили) то ей вообще ничего не будет разрешено
Тоже не совсем – это верно для strict-политик, но существуют также и targeted-политики, в которых все программы, для которых нет политики, работают в unconfined_t, которая практически никак не ограничивает запускаемую программу.
Исходная версия PeachBlossoms, :
если под какую то прогу нет профиля то аппармор её никак ни в чем не ограничит
Если она запускается процессом, который сам работает в режиме unconfined (и нет профиля для запускаемой программы), то так и есть. Но можно, например, создать профиль для bash, или для графического окружения рабочего стола, и тогда он будет применяться и к запускаемым программам.
В селинуксе как я понял не так - в режиме enforcing будет запрещено всё что не разрешено явно, если под какую то прогу нет профиля (только в селинксе не профили) то ей вообще ничего не будет разрешено
Тоже не совсем – это верно для strict-политик, но существуют также и targeted-политики, в которых все программы, для которых нет политики, работают в unconfined_t, которая практически никак не ограничивает запускаемую программу.