Comment puis-je convaincre l'apparmeur d'autoriser cette opération?
[28763.284171] type=1400 audit(1344273461.387:192): apparmor="DENIED"
operation="mount" info="failed type match" error=-13 parent=7101
profile="lxc-container-with-nesting" name="/" pid=7112 comm="su"
flags="ro, remount, bind"
Fondamentalement, j'essaie de remonter le système de fichiers racine en lecture seule (dans un espace de noms de montage imbriqué dans un conteneur LXC). La configuration consiste en quelques montures de liaison autour de l'endroit se terminant par:
mount --rbind / /
mount -o remount,ro /
J'ai essayé toutes les combinaisons de:
mount options=(ro, remount, bind) / -> /,
Je pourrais penser. L'ajout de la règle audit mount,affiche toutes les autres montures que je fais, mais pas celles qui fonctionnent sur /. Le plus proche que je peux obtenir est mount -> /,quelle IMHO est trop lâche. Même mount / -> /,refuse le remontage (alors que le premier montage de liaison est autorisé).
Réponses:
Selon: http://lwn.net/Articles/281157/
Les liens ont les mêmes options que l'original, vous ne pouvez donc lier que monter une copie rw de / .. à moins que vous ne remontiez tout votre / vers ro .. ce que je suppose que vous ne voulez pas faire.
Doit être en deux étapes.
mount --bind /vital_data /untrusted_container/vital_datamount -o remount,ro /untrusted_container/vital_datala source