Ubuntu 18.04 Рабочий стол
Установлен GIMP snap (манипулирование графическими изображениями)
AppArmor используется в том виде, в котором он установлен и настроен Canonical
Все они находятся в виртуальной машине под управлением VmWare.
Хост-машина разделяет папку с гостевой машиной. Общая папка монтируется в /mnt/hm-sf/.
В системе также обнаружено:
/var/lib/snapd/apparmor/profiles/snap.gimp.gimp
Проблема в том, что GIMP snap не может открыть файлы из общей папки VB. Чтобы исправить это, была реализована локальная модификация профиля GIMP apparmor, а затем он был помещен в
/etc/apparmor.d/local/snap.gimp.gimp.
Вот /etc/apparmor.d/local/snap.gimp.gimpкак это выглядит сейчас:
/mnt/hm-sf/**/ r,
/mnt/hm-sf/**[^/] rw,
Однако последующая перезагрузка профиля не удалась:
$ sudo apparmor_parser -R /etc/apparmor.d/local/snap.gimp.gimp
AppArmor parser error for /etc/apparmor.d/local/snap.gimp.gimp in \
/etc/apparmor.d/local/snap.gimp.gimp at line 1: syntax error, \
unexpected TOK_MODE, expecting TOK_OPEN
Как это исправить?
ОБНОВЛЯТЬЯ понял, что архитектура Snap имеет собственный уровень безопасности - разрешения Snap. Вполне возможно, что он связан с AppArmor. Интересно, что он предоставляет действительно удобный графический интерфейс в приложении Snap Store для каждого установленного приложения Snap. Я использовал его для включения доступа к удаляемым носителям для Snap GIMP - и это помогает. Возможно, он построен таким образом, что разрешение Snap было последним закрытым шлюзом на пути к общей папке VB, все были открыты. Не нужно копаться в правилах AppArmor. Надеюсь, скоро найду немного времени, чтобы заглянуть в правила GIMP, чтобы определить соответствующее.