AppArmor verweigert einen Mount-Vorgang

Wie kann ich Apparmor davon überzeugen, diesen Vorgang zuzulassen?

[28763.284171] type=1400 audit(1344273461.387:192): apparmor="DENIED"
operation="mount" info="failed type match" error=-13 parent=7101
profile="lxc-container-with-nesting" name="/" pid=7112 comm="su"
flags="ro, remount, bind"

Grundsätzlich versuche ich, das Root-Dateisystem schreibgeschützt erneut bereitzustellen (in einem Mount-Namespace, der in einem LXC-Container verschachtelt ist). Das Setup besteht aus ein paar Bindungs-Reittieren um den Ort, die mit Folgendem enden:

mount --rbind / /
mount -o remount,ro /

Ich habe jede Kombination von:

mount options=(ro, remount, bind) / -> /,

Ich könnte daran denken. Das Hinzufügen der Regel audit mount,zeigt alle anderen Reittiere an, die ich mache, aber nicht die, die mit / arbeiten. Das nächste, was ich bekommen kann, ist, mount -> /,welches IMHO zu locker ist. mount / -> /,Verweigert sogar das Remount (während das erste Bind-Mount erlaubt ist).

Gemäß: http://lwn.net/Articles/281157/

Binds haben die gleichen Optionen wie das Original, so dass Sie nur eine rw-Kopie von / .. binden können, es sei denn, Sie montieren Ihr gesamtes / to ro .., was Sie vermutlich nicht möchten.

Muss in zwei Schritten sein.

mount --bind /vital_data /untrusted_container/vital_data

mount -o remount,ro /untrusted_container/vital_data