> /etc/ld.so.cache r,  The file can be read.

chmod 400 /etc/ld.so.cache

> /var/run/myprog.pid rw, The file can be read and written.
chown vasya:root myprob.bin  && chmod 600 /var/run/myprog.pid

> /etc/apache2/* r, All files in /etc/apache2 can be read.

chmod 400 /etc/apache2/*

> /srv/www/htdocs/** r, All files in (and below) htdocs can be read.

find /srv/www/htdocs -type f -exec chmod 444 '{}' \;

> /tmp/myprog.* l, The program can create and remove links with this name.

Ссылку куда? на /etc/shadow?, да и хрен с ними, о все равно chmod 400

> /bin/mount ux The program can execute /bin/mount which will run unconstrained;
that is, without an AppArmor profile.

Ну и хрен с ней пускай делает /bin/mount, выполнять можно, только монтировать нельзя - да вообще, кто разрешает делать юзерам mount?

> /usr/bin/procmail px The program can execute procmail, which will run under constraint of its own profile.

Силу воли вырабатывать что ли?

> /usr/bin/sendmail ix  The program can execute sendmail, which will inherit the profile of the current program.

chmod u+s

P.S.
Bсех в chroot и пускай сам себя хакают/троянят/руткитят.