Режимы доступа:

• r — разрешить чтение
• w — разрешить запись
• a — разрешить запись в конец файла
• px — разрешить запуск новых процессов если для них есть профиль
• Px — разрешить запуск новых процессов, если для них есть профиль и стереть переменные окружения
• ix — разрешить запуск нового процесса под профилем текущего
• m — разрешить загружать исполняемые файлы в память и запускать
• l — разрешить создавать символические ссылки на исполняемые файлы
• k — разрешить блокировать файлы
• ux — не контролировать новые процессы
• Ux — не контролировать новые процессы и очистить переменные окружения.

Шаблоны:

• * - Любое количество любых знаков, за исключением символа каталога (/)
• ** - Любое количество любых знаков, включая символ каталога (/)
• ? - Любой одиночный знак, за исключением символа каталога (/)
• [ ade ] - Один из знаков: a, d или e
• [ a-c ] - Один из знаков: a, b или c
• { ab, cd } - Либо ab, либо cd

Устанавливаем дополнительные профили и утилиты:

sudo apt install apparmor-profiles apparmor-utils

Добавляем в /etc/apparmor.d/abstractions/samba (на примере сетевой папки в /data/ftp/):

  /run/samba/** rw,
  /data/** r,
  /data/ftp/** rwkix,

http://help.ubuntu.ru/wiki/%D1%80%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%BE_%D0%BF%D0%BE_ubuntu_server/%D1%81%D0%B5%D1%82%D1%8C_windows/securing_samba_servers

https://losst.ru/nastrojka-apparmor-v-ubuntu-16-04 - Настройка Apparmor в Ubuntu 16.04
http://vasilisc.com/rules_apparmor - Правила AppArmor