AppArmor menolak operasi pemasangan


9

Bagaimana saya meyakinkan aparatur untuk mengizinkan operasi ini?

[28763.284171] type=1400 audit(1344273461.387:192): apparmor="DENIED"
operation="mount" info="failed type match" error=-13 parent=7101
profile="lxc-container-with-nesting" name="/" pid=7112 comm="su"
flags="ro, remount, bind"

Pada dasarnya saya mencoba untuk me-remount sistem file root read-only (di mount namespace bersarang dalam wadah LXC). Setup adalah beberapa mount mengikat di sekitar tempat yang diakhiri dengan:

mount --rbind / /
mount -o remount,ro /

Saya mencoba setiap kombinasi:

mount options=(ro, remount, bind) / -> /,

Saya bisa memikirkan. Menambahkan aturan audit mount,menunjukkan semua tunggangan lain yang saya lakukan, tetapi tidak yang beroperasi pada /. Yang paling dekat yang bisa saya dapatkan adalah mount -> /,IMHO yang terlalu longgar. Bahkan mount / -> /,menyangkal remount (saat bind mount pertama diizinkan).


Anda dapat memperoleh bantuan di sini: lists.ubuntu.com/mailman/listinfo/apparmor

Jawaban:


2

Per: http://lwn.net/Articles/281157/

Bind's memiliki opsi yang sama seperti aslinya, jadi Anda hanya dapat mengikat mount rw copy dari / .. kecuali Anda remount seluruh / untuk ro .. yang saya kira Anda tidak ingin melakukannya.

Harus dalam dua langkah.

mount --bind /vital_data /untrusted_container/vital_data

mount -o remount,ro /untrusted_container/vital_data


Sebenarnya, yang adalah apa yang saya ingin lakukan. Semua direktori yang perlu ditulis (sedikit sekali, btw) ada di sistem file lain. Satu-satunya masalah adalah saya tidak bisa meyakinkan AppArmor untuk mengizinkan operasi khusus ini.
Grzegorz Nosek

Hmm, mungkin Anda bisa menonaktifkan apparmor
Grizly

1
Ya, saya bisa menonaktifkan AppArmor, atau mengizinkan pemasangan apa pun di /, seperti yang saya sebutkan dalam pertanyaan. Namun, itu tidak membantu saya jika saya benar-benar ingin mendapat manfaat dari AppArmor.
Grzegorz Nosek

Anda dapat mencoba NFS sourceforge.net/mailarchive/…
Grizly
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.