AppArmor
Я пользовался только selinux
. Сложно, огромный микроменеджмент, всё равно нужно помнить о других методах защиты, но именно он выбран дефолтом для андроида. AppArmor
создан , чтобы быть проще и легче, но я им не пользовался.
Тут стоит отменить, я сам не эксперт высших Linux-наук. Я что-то такое вроде делал, но виртуализация всегда была для меня в приоритете. Как я понял, ты искал рубильник запретить, но логика systemd
обратная: сначала ты тотально изолируешь службу с помощью ProtectSystem=
и PrivateDevices=
, а затем директивами ReadWritePaths=
и ReadOnlyPaths=
прорезаешь узкие щели к нужным файлам и директориям. У systemd
есть одна большая проблема, в её арсенале есть масса вещей, которые нормально не задокументированы или документация вводит в заблуждение. Часто ты узнаешь некоторые возможности не из документации, а из форумов, например с того же LORа и экспериментов.
Для более простой работы с песочницами, просто systemd
не лучший вариант из-за меньшей интуитивности. Для песочниц есть современный Bubblewrap
, есть более старые аналоги. Все эти механизмы (кроме виртуализации и в чём-то selinux
) это разные надстройки над одними и теми же ядерными механизмами.