Какая твоя основная цель в этом проекте: изучить AppArmor или просто запустить Chrome без лишнего мусора в ОС? Спрашиваю, потому что у LXC есть определённые ограничения, и если их убрать, то безопасность контейнера значительно снижается. В данном случае ты пытаешься предоставить Chrome сетевые привилегии уровня ядра на ядро хоста. Учитывая, что у браузера и так есть своя песочница, это вряд ли создаст уязвимость нулевого дня, но я всё равно бы не стал делать это в продакшене – особенно, учитывая, что у виртуальных машин почти все те же преимущества (кроме мгновенного изменения размера). Если цель не изучение конфигурации AppArmor, я бы посоветовал использовать виртуальную машину для этого случая. У Ubuntu есть образ cloud init размером менее 600 Мб: https://cloud-images.ubuntu.com/noble/current/ (один из .img файлов). У Debian есть образ cloud init немного меньшего размера — менее 500 Мб: https://cdimage.debian.org/images/cloud/bookworm/latest/ (файл .qcow2, который нужно переименовать в .img, чтобы его можно было использовать). У Alpine есть Generic Cloud Init образ размером менее 200 Мб: https://www.alpinelinux.org/cloud/ (но он запускает только Chromium, а не Chrome, если я правильно помню). С радостью объясню, как их использовать, если это поможет тебе достичь своей цели. Я ломал безопасность AppArmor для целей тестирования раньше, но я не особенно хорошо разбираюсь в этом в целом, и не рекомендовал бы это другим, кроме как для того, чтобы узнать, как "разбить стекло", просто "для развлечения".