Bagaimana saya meyakinkan aparatur untuk mengizinkan operasi ini?
[28763.284171] type=1400 audit(1344273461.387:192): apparmor="DENIED"
operation="mount" info="failed type match" error=-13 parent=7101
profile="lxc-container-with-nesting" name="/" pid=7112 comm="su"
flags="ro, remount, bind"
Pada dasarnya saya mencoba untuk me-remount sistem file root read-only (di mount namespace bersarang dalam wadah LXC). Setup adalah beberapa mount mengikat di sekitar tempat yang diakhiri dengan:
mount --rbind / /
mount -o remount,ro /
Saya mencoba setiap kombinasi:
mount options=(ro, remount, bind) / -> /,
Saya bisa memikirkan. Menambahkan aturan audit mount,menunjukkan semua tunggangan lain yang saya lakukan, tetapi tidak yang beroperasi pada /. Yang paling dekat yang bisa saya dapatkan adalah mount -> /,IMHO yang terlalu longgar. Bahkan mount / -> /,menyangkal remount (saat bind mount pertama diizinkan).
Jawaban:
Per: http://lwn.net/Articles/281157/
Bind's memiliki opsi yang sama seperti aslinya, jadi Anda hanya dapat mengikat mount rw copy dari / .. kecuali Anda remount seluruh / untuk ro .. yang saya kira Anda tidak ingin melakukannya.
Harus dalam dua langkah.
mount --bind /vital_data /untrusted_container/vital_datamount -o remount,ro /untrusted_container/vital_datasumber