AppArmor verweigert einen Mount-Vorgang

9

Wie kann ich Apparmor davon überzeugen, diesen Vorgang zuzulassen?

[28763.284171] type=1400 audit(1344273461.387:192): apparmor="DENIED"
operation="mount" info="failed type match" error=-13 parent=7101
profile="lxc-container-with-nesting" name="/" pid=7112 comm="su"
flags="ro, remount, bind"

Grundsätzlich versuche ich, das Root-Dateisystem schreibgeschützt erneut bereitzustellen (in einem Mount-Namespace, der in einem LXC-Container verschachtelt ist). Das Setup besteht aus ein paar Bindungs-Reittieren um den Ort, die mit Folgendem enden:

mount --rbind / /
mount -o remount,ro /

Ich habe jede Kombination von:

mount options=(ro, remount, bind) / -> /,

Ich könnte daran denken. Das Hinzufügen der Regel audit mount,zeigt alle anderen Reittiere an, die ich mache, aber nicht die, die mit / arbeiten. Das nächste, was ich bekommen kann, ist, mount -> /,welches IMHO zu locker ist. mount / -> /,Verweigert sogar das Remount (während das erste Bind-Mount erlaubt ist).

Grzegorz Nosek
quelle
Hier erhalten Sie möglicherweise Hilfe: lists.ubuntu.com/mailman/listinfo/apparmor

Antworten:

2

Gemäß: http://lwn.net/Articles/281157/

Binds haben die gleichen Optionen wie das Original, so dass Sie nur eine rw-Kopie von / .. binden können, es sei denn, Sie montieren Ihr gesamtes / to ro .., was Sie vermutlich nicht möchten.

Muss in zwei Schritten sein.

mount --bind /vital_data /untrusted_container/vital_data

mount -o remount,ro /untrusted_container/vital_data

Grizly
quelle
Eigentlich, das ist genau das, was ich tun möchte. Alle Verzeichnisse, die beschreibbar sein müssen (übrigens überraschend wenige), befinden sich in einem anderen Dateisystem. Das einzige Problem ist, dass ich AppArmor nicht davon überzeugen kann, diesen speziellen Vorgang zuzulassen.
Grzegorz Nosek
Hmm, vielleicht können Sie Apparmor einfach deaktivieren
Grizly
1
Ja, ich kann entweder AppArmor deaktivieren oder das Mounten auf / zulassen, wie in der Frage erwähnt. Trotzdem hilft mir das nicht, wenn ich tatsächlich von AppArmor profitieren möchte.
Grzegorz Nosek
Sie könnten NFS sourceforge.net/mailarchive/…
Grizly