Wie kann ich Apparmor davon überzeugen, diesen Vorgang zuzulassen?
[28763.284171] type=1400 audit(1344273461.387:192): apparmor="DENIED"
operation="mount" info="failed type match" error=-13 parent=7101
profile="lxc-container-with-nesting" name="/" pid=7112 comm="su"
flags="ro, remount, bind"
Grundsätzlich versuche ich, das Root-Dateisystem schreibgeschützt erneut bereitzustellen (in einem Mount-Namespace, der in einem LXC-Container verschachtelt ist). Das Setup besteht aus ein paar Bindungs-Reittieren um den Ort, die mit Folgendem enden:
mount --rbind / /
mount -o remount,ro /
Ich habe jede Kombination von:
mount options=(ro, remount, bind) / -> /,
Ich könnte daran denken. Das Hinzufügen der Regel audit mount,
zeigt alle anderen Reittiere an, die ich mache, aber nicht die, die mit / arbeiten. Das nächste, was ich bekommen kann, ist, mount -> /,
welches IMHO zu locker ist. mount / -> /,
Verweigert sogar das Remount (während das erste Bind-Mount erlaubt ist).