是否可以在 /etc/apparmor.d/local/usr.bin.firefox 中添加一行来撤销 /etc/apparmor.d/abstractions/ubuntu-browsers.d/firefox 中指定的包含?
还是需要直接修改/etc/apparmor.d/abstractions/ubuntu-browsers.d/firefox?如果是这样,如何防止此文件在升级/更新时被覆盖?
案例:如此处所述,虽然 Firefox 的默认 AppArmor 配置文件看起来只允许访问 ~/Downloads 和 ~/Public 中的文件,但它实际上允许访问 ~. 我可以确认 Ubuntu 20.04 就是这种情况。这是因为 /etc/apparmor.d/usr.bin.firefox 包含 abstractions/ubuntu-browsers.d/firefox,其中包含 abstractions/ubuntu-browsers.d/user-files,它明确允许访问 ~ 中的所有文件。我希望撤销此特权,但这样做的方式是 (1) 不会在 ~ 上调用显式拒绝,并且 (2) 不会冒在升级/更新时被覆盖的风险。
谢谢!