Aqui está o que eu estava pensando (de link ) - "complain mode". Isso não resolve o problema de méritos relativos ou conseqüências disso versus outros métodos de depuração.
Ao depurar, também pode ser útil colocar apparmor no modo 'reclamar'. Isso permitirá que seu aplicativo funcionar normalmente enquanto apparmor relata acessos que não estão no perfil. Para ativar o modo "reclamar", use:
sudo aa-complain /path/to/binonde '/ path / to / bin' é o absoluto caminho para o binário, como relatado no 'perfil = ...' parte da 'auditoria' entrada. Por exemplo:
sudo aa-complain /usr/sbin/slapdPara reativar o modo de imposição, use 'aa-enforce' em vez disso:
sudo aa-enforce /path/to/binPara desativar um perfil:
sudo touch /etc/apparmor.d/disable/path.to.bin sudo apparmor_parser -R /etc/apparmor.d/path.to.bin
Ao solucionar problemas, se houver algo que pareça estar relacionado a um problema assustador de permissões ('Hmm, parece com controle de acesso, mas não é um problema de permissões Unix, ou um problema NFS, ou um problema PAM, ou um problema Goof de montagem de mídia etc. - talvez seja o AppArmor. '), Kees Cook ressalta que o melhor curso de ação também é verificar seus registros do sistema. Notavelmente, por Kees Cook, "a saída de dmesg relatará todas as negações do AppArmor e incluirá o perfil".