<div dir="auto">That's correct - it ships unconfined, but when set to complain or enforce crun is unusable.<div dir="auto"><br></div><div dir="auto"> It's fairly common to require all installed apparmor profiles to be set as enforcing when doing security audits / certifications (or have a damn good documented reason why it's not), which is how I stumbled over this.</div><div dir="auto"><br></div><div dir="auto"> It was working in Debian 12, though saying that I'm actually not sure if a crun profile was shipped at all in bookworm. </div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, 6 May 2025, 14:48 intrigeri, <<a href="mailto:intrigeri@debian.org" target="_blank" rel="noreferrer">intrigeri@debian.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Control: tag -1 + moreinfo<br>
<br>
Hi,<br>
<br>
Jarl Gullberg (2025-05-02):<br>
> The AppArmor profile for crun that ships with AppArmor 4.1 in Debian 13 is currently<br>
> rendering crun entirely unusable when enabled.<br>
<br>
What do you mean with "when enabled" here?<br>
<br>
I'm asking because:<br>
<br>
 - This profile is intentionally shipped in unconfined mode, as<br>
   explained in the comment on top of the file.<br>
<br>
 - In this default configuration, on current sid, crun fails with<br>
   "please specify a command", which matches what I understand is your<br>
   desired successful status, and not the failure (where I would see<br>
   "Failed to re-execute libcrun via memory file descriptor").<br>
<br>
If by "when enabled" you mean "when manually switched from unconfined<br>
to complain mode", then I think that's 1 other instance of "complain<br>
mode blocks stuff when it should not", which IIRC is tracked<br>
upstream somewhere. Other limitations include "'deny' rules will be<br>
enforced even in complain mode" (quoting aa-complain(8)).<br>
<br>
Cheers,<br>
-- <br>
intrigeri<br>
</blockquote></div>