AppArmor заперечує операцію монтажу

Як переконати apparmor дозволити цю операцію?

[28763.284171] type=1400 audit(1344273461.387:192): apparmor="DENIED"
operation="mount" info="failed type match" error=-13 parent=7101
profile="lxc-container-with-nesting" name="/" pid=7112 comm="su"
flags="ro, remount, bind"

В основному я намагаюся повторно встановити кореневу файлову систему лише для читання (у просторі імен монтування, вкладеній у контейнер LXC). Налаштування - це кілька прив'язок кріплення місця, що закінчується на:

mount --rbind / /
mount -o remount,ro /

Я пробував кожну комбінацію:

mount options=(ro, remount, bind) / -> /,

Я міг би подумати. Додавання правила audit mount,показує всі інші кріплення, які я роблю, але не ті, які працюють на /. Найближче, що я можу отримати, це те, mount -> /,що IMHO занадто вільний. Навіть mount / -> /,заперечує перезарядку (тоді як дозволена перша прив'язка).

server apparmor lxc

— Гжегож Носек
джерело

Ви можете отримати тут допомогу: list.ubuntu.com/mailman/listinfo/apparmor

Відповідно до: http://lwn.net/Articles/281157/

У Bind є ті самі параметри, що й у оригіналу, тому ви можете прив’язати монтувати лише rw-копію / .., якщо ви не перезавантажуєте весь / to ro .., що, напевно, ви не хочете робити.

Потрібно бути в два кроки.

mount --bind /vital_data /untrusted_container/vital_data

mount -o remount,ro /untrusted_container/vital_data

— Грізлі
джерело

На насправді, що це саме те , що я хочу зробити. Усі каталоги, які потребують запису (на диво мало, btw), знаходяться в іншій файловій системі. Єдине питання - я не можу переконати AppArmor дозволити цю конкретну операцію.

— Grzegorz Nosek

Гм, можливо, ви можете просто відключити apparmor

— Grizly

Так, я можу або відключити AppArmor, або дозволити монтувати що-небудь на /, як я вже згадував у запитанні. Але це мені не допомагає, якщо я дійсно хочу отримати вигоду від AppArmor.

— Grzegorz Nosek

Ви можете спробувати NFS sourceforge.net/mailarchive/…

— Grizly