Não, não é possível.
O AppArmor funciona além das verificações de permissão padrão do Linux, não em vez de. Não pode conceder nenhum privilégio que o programa já não tenha.
Eu sei que usando o apparmor, é possível reduzir as capacidades do processo (7). Mas é possível ganhá-los?
Por exemplo: ping
requer CAP_NET_RAW
. É binário tem um conjunto suid no e não possui nenhum recurso de arquivo. É possível dar CAP_NET_RAW
a ele, sem tocar o próprio binário? (por exemplo, com a criação de regra apparmor)
A Grsecurity também parece ter o sistema RBAC, então talvez seja uma opção?
Tags apparmor linux grsecurity