Apparmor позволяет ограничить программу в действиях. В том числе: создание процессов, обращение к файлам на диске за пределами своей папки и т.п. В Ubuntu и Debian служба apparmor включена по умолчанию, но активировать её для конкретных приложений надо вручную.
Ограничение нужно для того, чтобы если программа внезапно была взломана, то злоумышленник не смог бы получить доступ к системе и папкам пользователя.
Сам механизм ограничений работает через профили (наборы правил). Некоторые профили начинают работать сразу после установки, а другие надо активировать вручную. К таким относится все браузеры: firefox, chrome и т.п.
Включение Apparmor увеличивает трудоёмкость процессов, что может привести к заметным тормозам в работе. Потому что каждое обращение программы к файлам будет проверяться несколько раз (и системой, и apparmor).
Для комфортного использования Apparmor стоит установить уже созданные профили и утилиты (далее вся установка и настройка от лица root пользователя):
apt install apparmor-utils apparmor-profiles apparmor-profiles-extra
При установке новые профили попадут в папку: /usr/share/doc/apparmor-profiles/extras/
Теперь попробуем проверить, какие именно профили сейчас работают:
apparmor_status
Теперь активируем профиль для firefox. Но именно этот профиль является предустановленным в Ubuntu/Debian и отключённым. Он находится в папке "disabled", поэтому сначала удалим его оттуда:
rm /etc/apparmor.d/disable/usr.bin.firefox
И активируем правило:
apparmor_parser -a /etc/apparmor.d/usr.bin.firefox
Теперь можно перезагрузить firefox, чтобы ограничения вступили в силу. А если надо будет отключить правило, то нужно выполнить команду с ключом "-R":
apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
P.S.
Особенно рекомендую установить правило на Skype. Это правило есть в загруженных "extras". Этот файл надо скопировать в папку /etc/apparmor.d/.
Проблема со Skype в том, что он лезет буквально во все папки в системе. Абсолютно бешенная программа, которая пылесосит вашу систему.