Estou tentando escrever um perfil apparmor para proteger contra o malware do Windows executado via vinho. Pelo que entendi, a menos que o vinho é executado como root, não é possível para os aplicativos do Windows para modificar arquivos do sistema, mas eu gostaria de confinar ainda mais programas do Windows para apenas ~ / .wine para proteger os arquivos do usuário, para que os programas do Windows: / p>
1) Não pode ser executado a menos que seja colocado na unidade c do vinho
2) Quando executado, não pode ver ou interagir com qualquer arquivo fora daqueles em ~ / .wine
Eu li esta página e parece que a seção sobre a execução de todos os programas em wine-loader e Perfis do wineserver é o que eu estou procurando, mas porque eu não mexi com apparmor antes que eu gostaria de ter certeza de que é realmente a abordagem que eu deveria estar usando, e quais mudanças eu poderia precisar fazer no exemplo de perfil lá para faça funcionar.