¿Cómo convencer a apparmor para que permita esta operación?
[28763.284171] type=1400 audit(1344273461.387:192): apparmor="DENIED"
operation="mount" info="failed type match" error=-13 parent=7101
profile="lxc-container-with-nesting" name="/" pid=7112 comm="su"
flags="ro, remount, bind"
Básicamente estoy tratando de volver a montar el sistema de archivos raíz de solo lectura (en un espacio de nombres de montaje anidado en un contenedor LXC). La configuración consiste en algunos montajes de enlace alrededor del lugar que terminan con:
mount --rbind / /
mount -o remount,ro /
Probé todas las combinaciones de:
mount options=(ro, remount, bind) / -> /,
Se me ocurre. Agregar la regla audit mount,
muestra todas las otras monturas que hago, pero no las que funcionan en /. Lo más cerca que puedo llegar es mount -> /,
qué IMHO está demasiado flojo. Incluso mount / -> /,
niega el montaje (mientras que el primer montaje de enlace está permitido).
Respuestas:
Según: http://lwn.net/Articles/281157/
Los enlaces tienen las mismas opciones que el original, por lo que solo puede obligar a montar una copia rw de / ... a menos que vuelva a montar todo / a ro ... lo que supongo que no quiere hacer.
Necesita estar en dos pasos.
mount --bind /vital_data /untrusted_container/vital_data
mount -o remount,ro /untrusted_container/vital_data
fuente