AppArmor verweigert einen Mount-Vorgang


9

Wie kann ich Apparmor davon überzeugen, diesen Vorgang zuzulassen?

[28763.284171] type=1400 audit(1344273461.387:192): apparmor="DENIED"
operation="mount" info="failed type match" error=-13 parent=7101
profile="lxc-container-with-nesting" name="/" pid=7112 comm="su"
flags="ro, remount, bind"

Grundsätzlich versuche ich, das Root-Dateisystem schreibgeschützt erneut bereitzustellen (in einem Mount-Namespace, der in einem LXC-Container verschachtelt ist). Das Setup besteht aus ein paar Bindungs-Reittieren um den Ort, die mit Folgendem enden:

mount --rbind / /
mount -o remount,ro /

Ich habe jede Kombination von:

mount options=(ro, remount, bind) / -> /,

Ich könnte daran denken. Das Hinzufügen der Regel audit mount,zeigt alle anderen Reittiere an, die ich mache, aber nicht die, die mit / arbeiten. Das nächste, was ich bekommen kann, ist, mount -> /,welches IMHO zu locker ist. mount / -> /,Verweigert sogar das Remount (während das erste Bind-Mount erlaubt ist).


Hier erhalten Sie möglicherweise Hilfe: lists.ubuntu.com/mailman/listinfo/apparmor

Antworten:


2

Gemäß: http://lwn.net/Articles/281157/

Binds haben die gleichen Optionen wie das Original, so dass Sie nur eine rw-Kopie von / .. binden können, es sei denn, Sie montieren Ihr gesamtes / to ro .., was Sie vermutlich nicht möchten.

Muss in zwei Schritten sein.

mount --bind /vital_data /untrusted_container/vital_data

mount -o remount,ro /untrusted_container/vital_data


Eigentlich, das ist genau das, was ich tun möchte. Alle Verzeichnisse, die beschreibbar sein müssen (übrigens überraschend wenige), befinden sich in einem anderen Dateisystem. Das einzige Problem ist, dass ich AppArmor nicht davon überzeugen kann, diesen speziellen Vorgang zuzulassen.
Grzegorz Nosek

Hmm, vielleicht können Sie Apparmor einfach deaktivieren
Grizly

1
Ja, ich kann entweder AppArmor deaktivieren oder das Mounten auf / zulassen, wie in der Frage erwähnt. Trotzdem hilft mir das nicht, wenn ich tatsächlich von AppArmor profitieren möchte.
Grzegorz Nosek

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.