Wie kann ich Apparmor davon überzeugen, diesen Vorgang zuzulassen?
[28763.284171] type=1400 audit(1344273461.387:192): apparmor="DENIED"
operation="mount" info="failed type match" error=-13 parent=7101
profile="lxc-container-with-nesting" name="/" pid=7112 comm="su"
flags="ro, remount, bind"
Grundsätzlich versuche ich, das Root-Dateisystem schreibgeschützt erneut bereitzustellen (in einem Mount-Namespace, der in einem LXC-Container verschachtelt ist). Das Setup besteht aus ein paar Bindungs-Reittieren um den Ort, die mit Folgendem enden:
mount --rbind / /
mount -o remount,ro /
Ich habe jede Kombination von:
mount options=(ro, remount, bind) / -> /,
Ich könnte daran denken. Das Hinzufügen der Regel audit mount,zeigt alle anderen Reittiere an, die ich mache, aber nicht die, die mit / arbeiten. Das nächste, was ich bekommen kann, ist, mount -> /,welches IMHO zu locker ist. mount / -> /,Verweigert sogar das Remount (während das erste Bind-Mount erlaubt ist).
Antworten:
Gemäß: http://lwn.net/Articles/281157/
Binds haben die gleichen Optionen wie das Original, so dass Sie nur eine rw-Kopie von / .. binden können, es sei denn, Sie montieren Ihr gesamtes / to ro .., was Sie vermutlich nicht möchten.
Muss in zwei Schritten sein.
mount --bind /vital_data /untrusted_container/vital_datamount -o remount,ro /untrusted_container/vital_dataquelle