Es macht mir Spaß, ein AppArmor-Profil für Firefox zu schreiben.
Ich öffne heruntergeladene Dateien gerne direkt aus Firefox (per Doppelklick), das ist wirklich praktisch. Dafür muss Firefox aber die Berechtigung haben, Anwendungen auszuführen.
Um beispielsweise PDF-Dateien zu öffnen, müsste ich Folgendes schreiben:
/usr/bin/evince rmix,
Und ähnliche Regeln gelten für das Öffnen von Bildern, Archiven usw.
Aber ich kann nicht alles vorhersagen und es kann sein, dass Firefox eines Tages einige Dateien nicht öffnen kann.
Ich kann so etwas schreiben wie
/usr/bin/* rmix,
aber das gefällt mir nicht. Die beste Lösung für mich ist, die am häufigsten verwendeten Anwendungen (wie evinceusw.) ausdrücklich zuzulassen, aber AppArmor bei allen anderen interaktiv fragen zu lassen. Das ist besser, als es einfach zu verweigern oder zuzulassen.
Ist das möglich?