Сгенерировал профиль Apparmor для файлового менеджера Caja в Debian Wheezy.На PDF-ках и видосах запускаются /usr/bin/atril-thumbnailer и /usr/bin/ffmpegthumbnailer соответственно. Тот же Apparmor может запретить им запускать что не нужно и лезть куда не следует. На фотках отдельный thumbnailer не используется, но можно принудить Caja не делать лишнего.
# Last Modified: Thu Nov 24 13:07:12 2016
#include <tunables/global>
/usr/bin/caja flags=(complain) {
#include <abstractions/base>
#include <abstractions/fonts>
#include <abstractions/freedesktop.org>
#include <abstractions/nameservice>
deny /home/andrey/.bash_history r,
deny /home/andrey/.bash_logout r,
deny /home/andrey/.bash_profile r,
deny /home/andrey/.bashrc r,
deny /home/andrey/.dmrc r,
deny /home/andrey/.galculator r,
deny /home/andrey/.gemrc r,
deny /home/andrey/.gitconfig r,
deny /home/andrey/.gitk r,
deny /home/andrey/.gksu.lock r,
deny /home/andrey/.gnome-rdp.db r,
deny /home/andrey/.hugin r,
deny /home/andrey/.irb-history r,
deny /home/andrey/.isomaster r,
deny /home/andrey/.jackdrc r,
deny /home/andrey/.jigdo-lite r,
deny /home/andrey/.lesshst r,
deny /home/andrey/.mkshrc r,
deny /home/andrey/.mtpaint r,
deny /home/andrey/.my.cnf r,
deny /home/andrey/.mysql_history r,
deny /home/andrey/.netrc r,
deny /home/andrey/.node_repl_history r,
deny /home/andrey/.pgadmin3 r,
deny /home/andrey/.pgpass r,
deny /home/andrey/.profile r,
deny /home/andrey/.psql_history r,
deny /home/andrey/.ptbt1 r,
deny /home/andrey/.pulse-cookie r,
deny /home/andrey/.rediscli_history r,
deny /home/andrey/.sqlite_history r,
deny /home/andrey/.viminfo r,
deny /home/andrey/.vimrc r,
deny /home/andrey/.xinitrc r,
deny /home/andrey/.xsession-errors r,
deny /home/andrey/.zlogin r,
deny /home/andrey/.zshrc r,
/bin/ls rix,
/etc/udev/udev.conf r,
/home/*/ r,
/home/*/.ICEauthority r,
/home/*/.Xauthority r,
/home/*/.Xdefaults r,
/home/*/.Xresources r,
/home/*/.cache/dconf/user rw,
/home/*/.config/caja-actions/* r,
/home/*/.config/caja/** rw,
/home/*/.config/dconf/user r,
/home/*/.config/user-dirs.dirs r,
/home/*/.fontconfig/* r,
/home/*/.gtk-bookmarks r,
/home/*/.icons/** r,
/home/*/.local/share/ r,
/home/*/.local/share/file-manager/** r,
/home/*/.local/share/gvfs-metadata/* r,
/home/*/.local/share/icons/** r,
/home/*/.local/share/mime/* r,
/home/*/.themes/** r,
/home/*/.thumbnails/** rw,
/home/*/1024x768.xbs r,
/home/*/1280x1024.xbs r,
/home/*/1280x1024_downloads.xbs r,
"/home/*/1C passwords" r,
/home/*/Desktop/ r,
/home/*/Desktop/** r,
/home/*/Templates/ r,
/home/*/base64 r,
/home/*/draggable-on-press.html r,
/home/*/mbox r,
/home/*/os r,
/home/*/preseed-jessie.cfg r,
/home/*/snapshots r,
/home/*/test-res.html r,
/home/*/Изображения/ r,
/home/*/Изображения/** r,
"/home/*/Пароль режима восстановления служб каталогов:" r,
/media/workspace/ r,
/media/workspace/** r,
/proc/*/fd/ r,
/proc/*/mountinfo r,
/proc/*/mounts r,
/proc/filesystems r,
/run/udev/data/* r,
/sys/devices/** r,
/tmp/.mate_desktop_thumbnail.* rw,
/usr/bin/atril-thumbnailer Ux,
/usr/bin/caja mr,
/usr/bin/ffmpegthumbnailer Ux,
/usr/lib{,32,64}/** mr,
/usr/local/gimp247/share/applications/* r,
/usr/local/share/ r,
/usr/local/share/applications/* r,
/usr/local/share/mime/ r,
/usr/share/ r,
/usr/share/caja/** r,
/usr/share/glib-2.0/schemas/* r,
/usr/share/gvfs/remote-volume-monitors/ r,
/usr/share/gvfs/remote-volume-monitors/* r,
/usr/share/mime/ r,
/usr/share/themes/** r,
/usr/share/thumbnailers/ r,
/usr/share/thumbnailers/atril.thumbnailer r,
/usr/share/thumbnailers/mate-ffmpegthumbnailer.thumbnailer r,
/usr/share/thumbnailers/mate-font-viewer.thumbnailer r,
}
Версия для распечатки
