NoneLxc с apparmor - где должны быть определены профили

Я создал /root/example.sh отсюда у хозяина, и с помощью aa-genprof это отрицает.

# ./example.sh
This is an apparmor example.
./example.sh: line 5: /usr/bin/touch: Permission denied
File created
./example.sh: line 8: /bin/rm: Permission denied
File deleted

отлично - это работает!

Но если я скопирую его в контейнеры (в то же /root папка) работает нормально (без ограничений).

Сначала подумайте об установке apparmor в контейнере, но подождите!!! некоторые процессы внутри контейнеров входят в системный журнал хоста (postdrop запрещен доступ к dynamicmaps.cd.d - и этот postdrop работает в контейнере!).

Так или иначе, я должен добавить example.sh в хост apparmor.d, и это также должно повлиять на все контейнеры... Но как?