Как зааналить всякое скриптоговно? Оно всё дёргает интерпретатор один и тот же, а нужно чтобы у разных говноскриптов были разные права.

Чтобы aa-genprof прожевал лог от metalog, нужно сказать metalog'у stamp_fmt = ""

Чо у меня aa-genprof выплёвывает профиль, состоящий только из доступа к самому бинарнику? Путь к логу правильный, интересующие вопли там есть.

Как идеологически верно зааналить явоговно в jar? Написать скрипт-обёртку и аналить его?

Задумал на десктоп и сервер вкатить какой-нибудь MAC. С чем поменьше геморроя в плане генерации правил и тормозов поменьше?

В профиле AppArmor nginx разрешено rw к /var/log/nginx/* и /var/log/nginx. nginx запускается и падает с open() "/var/log/nginx/error_log" failed (13: Permission denied) В логах AppArmor сообщений о запрете /var/log/nginx/error_log нет (и о разрешении тоже, включал аудит для этих путей) Вопрос: Почему? Я тупил пару часов. Как оказалось, AppArmor содрал с nginx CAP_DAC_OVERRIDE. В результате мастер-процесс nginx, имевший uid=="root" не мог получить доступ на запись к логам, принадлежавшим nginx:root и имевшим права rw-r-----