AppArmor refuse une opération de montage

9

Comment puis-je convaincre l'apparmeur d'autoriser cette opération?

[28763.284171] type=1400 audit(1344273461.387:192): apparmor="DENIED"
operation="mount" info="failed type match" error=-13 parent=7101
profile="lxc-container-with-nesting" name="/" pid=7112 comm="su"
flags="ro, remount, bind"

Fondamentalement, j'essaie de remonter le système de fichiers racine en lecture seule (dans un espace de noms de montage imbriqué dans un conteneur LXC). La configuration consiste en quelques montures de liaison autour de l'endroit se terminant par:

mount --rbind / /
mount -o remount,ro /

J'ai essayé toutes les combinaisons de:

mount options=(ro, remount, bind) / -> /,

Je pourrais penser. L'ajout de la règle audit mount,affiche toutes les autres montures que je fais, mais pas celles qui fonctionnent sur /. Le plus proche que je peux obtenir est mount -> /,quelle IMHO est trop lâche. Même mount / -> /,refuse le remontage (alors que le premier montage de liaison est autorisé).

Grzegorz Nosek
la source
Vous pouvez obtenir de l'aide ici: lists.ubuntu.com/mailman/listinfo/apparmor

Réponses:

2

Selon: http://lwn.net/Articles/281157/

Les liens ont les mêmes options que l'original, vous ne pouvez donc lier que monter une copie rw de / .. à moins que vous ne remontiez tout votre / vers ro .. ce que je suppose que vous ne voulez pas faire.

Doit être en deux étapes.

mount --bind /vital_data /untrusted_container/vital_data

mount -o remount,ro /untrusted_container/vital_data

Grizly
la source
En fait, c'est exactement ce que je veux faire. Tous les répertoires qui doivent être accessibles en écriture (étonnamment peu, btw) se trouvent sur un autre système de fichiers. Le seul problème est que je ne peux pas convaincre AppArmor d'autoriser cette opération spécifique.
Grzegorz Nosek
Hmm, peut-être que vous pouvez simplement désactiver l'apparmeur
Grizly
1
Oui, je peux soit désactiver AppArmor, soit autoriser le montage de n'importe quoi sur /, comme je l'ai mentionné dans la question. Pourtant, cela ne m'aide pas si je veux réellement bénéficier d'AppArmor.
Grzegorz Nosek
Vous pouvez essayer NFS sourceforge.net/mailarchive/…
Grizly