AppArmor bir bağlama işlemini reddediyor


9

Apparmor'u bu işleme izin vermeye nasıl ikna edebilirim?

[28763.284171] type=1400 audit(1344273461.387:192): apparmor="DENIED"
operation="mount" info="failed type match" error=-13 parent=7101
profile="lxc-container-with-nesting" name="/" pid=7112 comm="su"
flags="ro, remount, bind"

Temelde kök dosya sistemi salt okunur (bir LXC kapsayıcısında yuvalanmış bir bağ ad alanında) yeniden denemek için çalışıyorum. Kurulum ile biten yer etrafında birkaç bağlama bağları:

mount --rbind / /
mount -o remount,ro /

Her kombinasyonunu denedim:

mount options=(ro, remount, bind) / -> /,

Düşünebilirdim. Kural eklemek, audit mount,yaptığım diğer tüm bağları gösterir, / üzerinde çalışan montajları göstermez. Ben en yakın mount -> /,IMHO çok gevşek olduğunu alabilirim. Bile, mount / -> /,reddedilir (ilk bağlama bağlantısına izin verilirken).


Buradan yardım alabilirsiniz: lists.ubuntu.com/mailman/listinfo/apparmor

Yanıtlar:


2

Göre : http://lwn.net/Articles/281157/

Bind orijinal ile aynı seçeneklere sahiptir, bu yüzden / .. bir rw kopyasını sadece tüm / to ro yeniden sürece sürece bağlayabilirsiniz .. hangi yapmak istemiyorum tahmin ediyorum.

İki adımda olması gerekiyor.

mount --bind /vital_data /untrusted_container/vital_data

mount -o remount,ro /untrusted_container/vital_data


Aslında o olduğunu yapmak istediğim tam olarak ne. Yazılabilir olması gereken tüm dizinler (şaşırtıcı derecede az, btw) başka bir dosya sistemindedir. Tek sorun, AppArmor'u bu özel işleme izin vermeye ikna edemem.
Grzegorz Nosek

Hmm, belki de apparmor'u devre dışı bırakabilirsiniz
Grizly

1
Evet, AppArmor'u devre dışı bırakabilirim veya soruda bahsettiğim gibi / üzerine herhangi bir şey monte etmeye izin verebilirim. Yine de, eğer aslında AppArmor'dan yararlanmak istiyorsam bana yardımcı olmuyor.
Grzegorz Nosek

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.