AppArmor एक माउंट ऑपरेशन से इनकार करते हुए


9

मैं इस ऑपरेशन की अनुमति देने के लिए एपरमोर को कैसे मनाऊं?

[28763.284171] type=1400 audit(1344273461.387:192): apparmor="DENIED"
operation="mount" info="failed type match" error=-13 parent=7101
profile="lxc-container-with-nesting" name="/" pid=7112 comm="su"
flags="ro, remount, bind"

मूल रूप से मैं केवल (एक LXC कंटेनर में नेस्टेड माउंट नामस्थान में) रूट फाइलसिस्टम को रिमूव करने की कोशिश कर रहा हूं। सेटअप कुछ बिंदियों के साथ समाप्त होने वाली जगह के आसपास है:

mount --rbind / /
mount -o remount,ro /

मैंने हर संयोजन की कोशिश की:

mount options=(ro, remount, bind) / -> /,

मैं सोच सकता था। नियम जोड़ने से audit mount,मेरे द्वारा किए जाने वाले अन्य सभी आरोह दिखते हैं, लेकिन / पर काम करने वाले नहीं। निकटतम मैं प्राप्त कर सकता हूं mount -> /,जो आईएमएचओ बहुत ढीला है। यहां तक mount / -> /,कि रिमाउंट से इनकार करते हैं (जबकि पहले बाँध माउंट की अनुमति है)।


आप यहाँ मदद प्राप्त कर सकते हैं: lists.ubuntu.com/mailman/listinfo/apparmor

जवाबों:


2

प्रति के रूप में: http://lwn.net/Articles/281157/

बिंद के पास मूल के समान विकल्प हैं, इसलिए आप केवल / की आरडब्ल्यू कॉपी माउंट कर सकते हैं, जब तक कि आप अपने संपूर्ण / आरओ को रिमूव नहीं करते .. जो मैं अनुमान लगा रहा हूं कि आप ऐसा नहीं करना चाहते हैं।

दो चरणों में होना चाहिए।

mount --bind /vital_data /untrusted_container/vital_data

mount -o remount,ro /untrusted_container/vital_data


वास्तव में, यह वही है जो मैं करना चाहता हूं। सभी निर्देशिकाएं जिन्हें लिखने योग्य होने की आवश्यकता होती है (आश्चर्यजनक रूप से कुछ, btw) एक और फाइल सिस्टम पर होती हैं। एकमात्र मुद्दा यह है कि मैं AppArmor को इस विशिष्ट ऑपरेशन की अनुमति नहीं दे सकता।
ग्रेजेर्गेज़ नोज़क

हम्म, शायद तुम सिर्फ अक्षम एपआर्मर कर सकते हैं
Grizly

1
हाँ, मैं या तो AppArmor को अक्षम कर सकता हूँ, या कुछ भी / पर बढ़ते जाने की अनुमति दे सकता हूँ, जैसा कि मैंने प्रश्न में उल्लेख किया है। अगर मैं वास्तव में AppArmor से लाभ उठाना चाहता हूँ, तब भी इससे मुझे कोई मदद नहीं मिलती है।
ग्रेजेगोरज नोज़क

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.