AppArmor menolak operasi pemasangan

9

Bagaimana saya meyakinkan aparatur untuk mengizinkan operasi ini?

[28763.284171] type=1400 audit(1344273461.387:192): apparmor="DENIED"
operation="mount" info="failed type match" error=-13 parent=7101
profile="lxc-container-with-nesting" name="/" pid=7112 comm="su"
flags="ro, remount, bind"

Pada dasarnya saya mencoba untuk me-remount sistem file root read-only (di mount namespace bersarang dalam wadah LXC). Setup adalah beberapa mount mengikat di sekitar tempat yang diakhiri dengan:

mount --rbind / /
mount -o remount,ro /

Saya mencoba setiap kombinasi:

mount options=(ro, remount, bind) / -> /,

Saya bisa memikirkan. Menambahkan aturan audit mount,menunjukkan semua tunggangan lain yang saya lakukan, tetapi tidak yang beroperasi pada /. Yang paling dekat yang bisa saya dapatkan adalah mount -> /,IMHO yang terlalu longgar. Bahkan mount / -> /,menyangkal remount (saat bind mount pertama diizinkan).

Grzegorz Nosek
sumber
Anda dapat memperoleh bantuan di sini: lists.ubuntu.com/mailman/listinfo/apparmor

Jawaban:

2

Per: http://lwn.net/Articles/281157/

Bind's memiliki opsi yang sama seperti aslinya, jadi Anda hanya dapat mengikat mount rw copy dari / .. kecuali Anda remount seluruh / untuk ro .. yang saya kira Anda tidak ingin melakukannya.

Harus dalam dua langkah.

mount --bind /vital_data /untrusted_container/vital_data

mount -o remount,ro /untrusted_container/vital_data

Grizly
sumber
Sebenarnya, yang adalah apa yang saya ingin lakukan. Semua direktori yang perlu ditulis (sedikit sekali, btw) ada di sistem file lain. Satu-satunya masalah adalah saya tidak bisa meyakinkan AppArmor untuk mengizinkan operasi khusus ini.
Grzegorz Nosek
Hmm, mungkin Anda bisa menonaktifkan apparmor
Grizly
1
Ya, saya bisa menonaktifkan AppArmor, atau mengizinkan pemasangan apa pun di /, seperti yang saya sebutkan dalam pertanyaan. Namun, itu tidak membantu saya jika saya benar-benar ingin mendapat manfaat dari AppArmor.
Grzegorz Nosek
Anda dapat mencoba NFS sourceforge.net/mailarchive/…
Grizly