apparmor/torbrowser.Tor.tor

   1 #include <tunables/global>
   2 #include <tunables/torbrowser>
   3
   4 @{torbrowser_tor_executable} = /home/*/.local/share/torbrowser/tbb/{i686,x86_64}/tor-browser_*/Browser/TorBrowser/Tor/tor
   5
   6 profile torbrowser_tor @{torbrowser_tor_executable} {
   7   #include <abstractions/base>
   8
   9   network netlink raw,
  10   network tcp,
  11   network udp,
  12
  13   /etc/host.conf r,
  14   /etc/nsswitch.conf r,
  15   /etc/passwd r,
  16   /etc/resolv.conf r,
  17   owner @{torbrowser_home_dir}/TorBrowser/Tor/tor mr,
  18   owner @{torbrowser_home_dir}/TorBrowser/Data/Tor/ rw,
  19   owner @{torbrowser_home_dir}/TorBrowser/Data/Tor/** rw,
  20   owner @{torbrowser_home_dir}/TorBrowser/Data/Tor/lock rwk,
  21   owner @{torbrowser_home_dir}/TorBrowser/Tor/*.so mr,
  22   owner @{torbrowser_home_dir}/TorBrowser/Tor/*.so.* mr,
  23
  24   # Support some of the included pluggable transports
  25   owner @{torbrowser_home_dir}/TorBrowser/Tor/PluggableTransports/** rix,
  26   @{PROC}/sys/net/core/somaxconn r,
  27   #include <abstractions/ssl_certs>
  28
  29   # Silence file_inherit logs
  30   deny @{torbrowser_home_dir}/{browser/,}omni.ja r,
  31   deny @{torbrowser_home_dir}/{browser/,}features/*.xpi r,
  32   deny @{torbrowser_home_dir}/TorBrowser/Data/Browser/profile.default/.parentlock rw,
  33   deny @{torbrowser_home_dir}/TorBrowser/Data/Browser/profile.default/extensions/*.xpi r,
  34   deny @{torbrowser_home_dir}/TorBrowser/Data/Browser/profile.default/startupCache/* r,
  35   # Silence logs from included pluggable transports
  36   deny /etc/hosts r,
  37   deny /etc/services r,
  38
  39   @{PROC}/sys/kernel/random/uuid r,
  40   /sys/devices/system/cpu/ r,
  41
  42   # OnionShare compatibility
  43   /tmp/onionshare/** rw,
  44
  45   #include <local/torbrowser.Tor.tor>
  46 }