AppArmor từ chối một hoạt động gắn kết

Làm thế nào để tôi thuyết phục apparmor cho phép hoạt động này?

[28763.284171] type=1400 audit(1344273461.387:192): apparmor="DENIED"
operation="mount" info="failed type match" error=-13 parent=7101
profile="lxc-container-with-nesting" name="/" pid=7112 comm="su"
flags="ro, remount, bind"

Về cơ bản, tôi đang cố gắng kết nối lại hệ thống tập tin gốc chỉ đọc (trong một không gian tên mount được lồng trong một thùng chứa LXC). Thiết lập là một vài liên kết gắn kết xung quanh địa điểm kết thúc bằng:

mount --rbind / /
mount -o remount,ro /

Tôi đã thử mọi sự kết hợp của:

mount options=(ro, remount, bind) / -> /,

Tôi có thể nghĩ về. Thêm quy tắc audit mount,cho thấy tất cả các gắn kết khác tôi làm, nhưng không phải là các hoạt động trên /. Gần nhất tôi có thể nhận được là mount -> /,IMHO quá lỏng lẻo. Thậm chí mount / -> /,từ chối kết thúc (trong khi gắn kết đầu tiên được cho phép).

server apparmor lxc

— Grzegorz Mũi
nguồn

Bạn có thể nhận trợ giúp tại đây : lists.ubfox.com/mailman/listinfo/apparmor

Theo: http://lwn.net/Articles/281157/

Bind có các tùy chọn giống như bản gốc, vì vậy bạn chỉ có thể liên kết gắn một bản sao rw của / .. trừ khi bạn kể lại toàn bộ / để ro .. mà tôi đoán bạn không muốn làm.

Cần phải có hai bước.

mount --bind /vital_data /untrusted_container/vital_data

mount -o remount,ro /untrusted_container/vital_data

— Grizly
nguồn

Trên thực tế, đó là chính xác những gì tôi muốn làm. Tất cả các thư mục cần ghi được (đáng ngạc nhiên là một số ít, btw) nằm trên một hệ thống tập tin khác. Vấn đề duy nhất là tôi không thể thuyết phục AppArmor cho phép hoạt động cụ thể này.

— Grzegorz Nosek

Hmm, có lẽ bạn chỉ cần vô hiệu hóa

— apparmor

Vâng, tôi có thể vô hiệu hóa AppArmor hoặc cho phép gắn bất cứ thứ gì trên /, như tôi đã đề cập trong câu hỏi. Tuy nhiên, điều đó không giúp tôi nếu tôi thực sự muốn hưởng lợi từ AppArmor.

— Grzegorz Nosek

Bạn có thể dùng thử NFS sourceforge.net/mailarchive/ từ

— Grizly