Foi de fato causado pelo perfil do aplicativo pai.
Eu criei o seguinte snippet e #include d no início de todos os perfis que podem iniciar um dos programas:
/usr/bin/convert.im6 Pix,
Eu defini o seguinte perfil
#include <tunables/global>
/usr/bin/convert.im6 {
#include <abstractions/base>
/usr/bin/convert.im6 mr,
/** mrwlkix,
set rlimit as <= 8G,
}
e carregou via aa-enforce /usr/bin/convert .
No entanto, processos iniciados recentemente deste binário não aparecem em aa-status .
Poderia ser porque eles foram iniciados com nice -n +19 convert ... ?
Ou porque outro processo com um perfil definido está iniciando-os?
O que está errado? Como faço para o AppArmor impor esses processos?
Tags apparmor