Как мне убедить apparmor разрешить эту операцию?
[28763.284171] type=1400 audit(1344273461.387:192): apparmor="DENIED"
operation="mount" info="failed type match" error=-13 parent=7101
profile="lxc-container-with-nesting" name="/" pid=7112 comm="su"
flags="ro, remount, bind"
В основном я пытаюсь перемонтировать корневую файловую систему только для чтения (в пространстве имен монтирования, вложенном в контейнер LXC). Установка представляет собой несколько привязных креплений вокруг места, заканчивающегося:
mount --rbind / /
mount -o remount,ro /
Я попробовал каждую комбинацию:
mount options=(ro, remount, bind) / -> /,
Я мог думать о. Добавление правила audit mount,
показывает все остальные монтирования, которые я делаю, но не те, которые работают на /. Самое близкое, что я могу получить, это то, mount -> /,
что ИМХО слишком свободно. Даже mount / -> /,
отрицает перемонтирование (пока разрешено первое связывание).
Ответы:
Согласно: http://lwn.net/Articles/281157/
У привязки есть те же параметры, что и у оригинала, так что вы можете связать только монтированную копию / /, если только вы не перемонтируете всю / в ро .., что, я думаю, вы не хотите делать.
Нужно быть в двух шагах.
mount --bind /vital_data /untrusted_container/vital_data
mount -o remount,ro /untrusted_container/vital_data
источник