Încerc să configurez un profil de apparmor pentru vin
astfel încât vinul să poată citi și scrie doar în directorul .wine
Am văzut câteva fire care au întrebat despre asta, dar niciuna dintre aceste întrebări nu este detaliată.
în acele fire Acest Github repo este menționat, de exemplu, profilul apparmor de vin pe care l-am încercat
nu eram sigur că îmi modific /etc/apparmor.d/tunables și /etc/apparmor.d/abstractions
dar am adaugat site-ul folderul și fișierele acestuia site/global și site/de din moment ce nu erau deja acolo
și a adăugat puls dosar în /etc/apparmor.d/ pentru că nici nu era prezent.
profil necompletat generat pentru vin cu aa-genprof și a folosit profilul pentru vin menționat în repo-ul Github.
Dar a avut SYS_GIT și HOME_GIT variabile în /etc/apparmor.d/site fișiere pe care nu le aveam, neștiind ce să fac, tocmai le-am comentat include din fisa profilului vinului.
deci profilul meu actual arata asa
#include <tunables/global>
profile wine-preloader /usr/bin/wine-preloader {
#include <abstracții/bază>
#include <abstracții/fonturi>
#include <abstractii/nameservice>
##include <abstracții/site/de>
##include <abstracții/site/bază>
#include <abstracții/X>
#include <abstractions/freedesktop.org>
##include <abstracții/puls>
#include <abstracții/p11-kit>
/usr/bin/wine-preloader rix,
/usr/bin/wineserver px,
/usr/bin/wine mr,
/usr/lib/wine/*.so dl,
/usr/share/wine/fonts/r,
/usr/share/wine/fonts/* r,
/usr/share/wine/wine.inf r,
/etc/fstab r,
/usr/share/terminfo/** r,
/tmp/.wine-*/ rw,
/tmp/.wine-*/server-*/ rw,
/tmp/.wine-*/server-*/* rwmk,
proprietar @{HOME}/ r,
proprietar @{HOME}/.wine/ rw,
proprietar @{HOME}/.wine/** rwmk,
proprietar @{HOME}/.local/share/icons/hicolor/** rwk,
proprietar @{HOME}/.local/share/applications/** rwk,
proprietar @{HOME}/.config/menus/applications-merged/wine-* rwk,
proprietar @{HOME}/.local/share/desktop-directories/wine-* rwk,
# În cea mai mare parte, chestii de meniu de vinuri
deny /usr/bin/update-mime-database x,
deny /usr/bin/update-desktop-database x,
deny @{HOME}/.local/share/mime/** w,
# Pentru winedbg
deny capability sys_ptrace,
# proprietar /proc/@{pid}/mem rw,
# hw
/etc/udev/udev.conf r,
/run/udev/data/* r,
/run/udev/queue.bin r,
/sys/devices/pci** r,
/dev/video0 rw, # dri?
# numai pentru crearea/actualizările inițiale de ~/.vin
/r,
/usr/share/wine/** r,
proprietar @{HOME}/.cache/ r,
proprietar @{HOME}/.cache/wine/ rwk,
proprietar @{HOME}/.cache/wine/** rwk,
# Aplicații/jocuri reale
proprietar /proc/@{pid}/mounts r,
/etc/machine-id r,
/mnt/iso/r,
/mnt/iso/** r,
deny @{HOME}/Descărcări/ rw,
deny @{HOME}/Downloads/** rw,
deny @{HOME}/.local/share/Trash/rw,
/usr/bin/dosbox cx -> dosbox,
profil dosbox {
#include <abstracții/bază>
#include <abstracții/X>
##include <abstracții/puls>
##include <abstracții/site/bază>
/etc/fstab r,
proprietar /proc/@{pid}/mounts r,
# DosBox pare să le folosească direct
/dev/input/event[0-9]* r,
/dev/input/js[0-9]* r,
proprietar @{HOME}/ r,
proprietar @{HOME}/.wine/ rw,
proprietar @{HOME}/.wine/** rwmk,
# Aplicații/jocuri reale
/mnt/iso/r,
/mnt/iso/** r,
}
}
profile wineserver /usr/bin/wineserver {
#include <abstracții/bază>
#include <abstractii/nameservice>
#include <abstractions/freedesktop.org>
/usr/bin/wineserver r,
/tmp/.wine-*/ rw,
/tmp/.wine-*/server-*/ rw,
/tmp/.wine-*/server-*/* rwmk,
proprietar @{HOME}/ r,
proprietar @{HOME}/.wine/ rw,
proprietar @{HOME}/.wine/** rwmk,
proprietar @{HOME}/.local/share/icons/hicolor/** rwk,
# Pentru winedbg
deny capability sys_ptrace,
# proprietar /proc/@{pid}/mem rw,
# numai pentru crearea inițială de ~/.vin
/r,
/usr/share/wine/** rk,
proprietar @{HOME}/.cache/ r,
proprietar @{HOME}/.cache/wine/ rwk,
proprietar @{HOME}/.cache/wine/** rwk,
# Aplicații/jocuri reale
rețea ipx dgram, # IPX, wow ;)
/etc/machine-id r,
/etc/ld.so.preload r,
/mnt/iso/r,
/mnt/iso/** r,
deny @{HOME}/Descărcări/ rw,
deny @{HOME}/.local/share/Trash/rw,
}
Serviciul apparmor funcționează bine, dar când încerc să rulez ceva în vin, acum îmi arată acces refuzat
ce gresesc aici? orice acces în direcția corectă ar fi de mare ajutor, mulțumesc
