AppArmor niega una operación de montaje

9

¿Cómo convencer a apparmor para que permita esta operación?

[28763.284171] type=1400 audit(1344273461.387:192): apparmor="DENIED"
operation="mount" info="failed type match" error=-13 parent=7101
profile="lxc-container-with-nesting" name="/" pid=7112 comm="su"
flags="ro, remount, bind"

Básicamente estoy tratando de volver a montar el sistema de archivos raíz de solo lectura (en un espacio de nombres de montaje anidado en un contenedor LXC). La configuración consiste en algunos montajes de enlace alrededor del lugar que terminan con:

mount --rbind / /
mount -o remount,ro /

Probé todas las combinaciones de:

mount options=(ro, remount, bind) / -> /,

Se me ocurre. Agregar la regla audit mount,muestra todas las otras monturas que hago, pero no las que funcionan en /. Lo más cerca que puedo llegar es mount -> /,qué IMHO está demasiado flojo. Incluso mount / -> /,niega el montaje (mientras que el primer montaje de enlace está permitido).

Grzegorz Nosek
fuente
Puede obtener ayuda aquí: lists.ubuntu.com/mailman/listinfo/apparmor

Respuestas:

2

Según: http://lwn.net/Articles/281157/

Los enlaces tienen las mismas opciones que el original, por lo que solo puede obligar a montar una copia rw de / ... a menos que vuelva a montar todo / a ro ... lo que supongo que no quiere hacer.

Necesita estar en dos pasos.

mount --bind /vital_data /untrusted_container/vital_data

mount -o remount,ro /untrusted_container/vital_data

Grizly
fuente
En realidad, eso es exactamente lo que quiero hacer. Todos los directorios que deben poder escribirse (sorprendentemente pocos, por cierto) están en otro sistema de archivos. El único problema es que no puedo convencer a AppArmor de que permita esta operación específica.
Grzegorz Nosek
Hmm, tal vez solo puedas deshabilitar Aparmor
Grizly
1
Sí, puedo desactivar AppArmor o permitir montar cualquier cosa en /, como mencioné en la pregunta. Aún así, eso no me ayuda si realmente quiero beneficiarme de AppArmor.
Grzegorz Nosek
Puede probar NFS sourceforge.net/mailarchive/…
Grizly