Resolvido desativando CONFIG_DEFAULT_SECURITY_DAC=y
, tem de haver apenas um CONFIG_DEFAULT_SECURITY_*
ativado, parece
EDITAR: também descobri que, para que o AppArmor seja habilitado por padrão durante a inicialização, SECURITY_APPARMOR_BOOTPARAM_VALUE deve ser definido como "1", assim: CONFIG_SECURITY_APPARMOR_BOOTPARAM_VALUE=1