AppArmor запрещает операцию монтирования

9

Как мне убедить apparmor разрешить эту операцию?

[28763.284171] type=1400 audit(1344273461.387:192): apparmor="DENIED"
operation="mount" info="failed type match" error=-13 parent=7101
profile="lxc-container-with-nesting" name="/" pid=7112 comm="su"
flags="ro, remount, bind"

В основном я пытаюсь перемонтировать корневую файловую систему только для чтения (в пространстве имен монтирования, вложенном в контейнер LXC). Установка представляет собой несколько привязных креплений вокруг места, заканчивающегося:

mount --rbind / /
mount -o remount,ro /

Я попробовал каждую комбинацию:

mount options=(ro, remount, bind) / -> /,

Я мог думать о. Добавление правила audit mount,показывает все остальные монтирования, которые я делаю, но не те, которые работают на /. Самое близкое, что я могу получить, это то, mount -> /,что ИМХО слишком свободно. Даже mount / -> /,отрицает перемонтирование (пока разрешено первое связывание).

Гжегож Носек
источник
Вы можете получить помощь здесь: lists.ubuntu.com/mailman/listinfo/apparmor

Ответы:

2

Согласно: http://lwn.net/Articles/281157/

У привязки есть те же параметры, что и у оригинала, так что вы можете связать только монтированную копию / /, если только вы не перемонтируете всю / в ро .., что, я думаю, вы не хотите делать.

Нужно быть в двух шагах.

mount --bind /vital_data /untrusted_container/vital_data

mount -o remount,ro /untrusted_container/vital_data

Grizly
источник
На самом деле, что это именно то , что я хочу сделать. Все каталоги, которые должны быть доступны для записи (удивительно мало, кстати) находятся в другой файловой системе. Единственная проблема - я не могу убедить AppArmor разрешить эту конкретную операцию.
Гжегож Носек
Хм, может быть, вы можете просто отключить apparmor
Grizly
1
Да, я могу либо отключить AppArmor, либо разрешить монтирование чего угодно на /, как я уже упоминал в вопросе. Тем не менее, это не поможет мне, если я действительно хочу извлечь выгоду из AppArmor.
Гжегож Носек
Вы можете попробовать NFS sourceforge.net/mailarchive/…
Grizly