Grz*_*sek 9 server apparmor lxc
我如何说服 apparmor 允许此操作?
[28763.284171] type=1400 audit(1344273461.387:192): apparmor="DENIED"
operation="mount" info="failed type match" error=-13 parent=7101
profile="lxc-container-with-nesting" name="/" pid=7112 comm="su"
flags="ro, remount, bind"
基本上,我试图以只读方式重新挂载根文件系统(在嵌套在 LXC 容器中的挂载命名空间中)。设置是围绕该位置的一些绑定安装,结尾为:
mount --rbind / /
mount -o remount,ro /
我尝试了以下每种组合:
mount options=(ro, remount, bind) / -> /,
我能想到。添加规则会audit mount,显示我所做的所有其他挂载,但不显示在 / 上运行的挂载。我能得到的最接近的是mount -> /,恕我直言太松了。甚至mount / -> /,拒绝重新安装(同时允许第一个绑定安装)。
根据: http: //lwn.net/Articles/281157/
绑定的选项与原始选项相同,因此您只能绑定安装 /.. 的 rw 副本,除非您将整个 / 重新安装到 ro.. 我猜您不想这样做。
需要分两步进行。
mount --bind /vital_data /untrusted_container/vital_data
mount -o remount,ro /untrusted_container/vital_data
| 归档时间: |
|
| 查看次数: |
3760 次 |
| 最近记录: |