Как мне убедить apparmor разрешить эту операцию?
[28763.284171] type=1400 audit(1344273461.387:192): apparmor="DENIED"
operation="mount" info="failed type match" error=-13 parent=7101
profile="lxc-container-with-nesting" name="/" pid=7112 comm="su"
flags="ro, remount, bind"
В основном я пытаюсь перемонтировать корневую файловую систему только для чтения (в пространство имен монтирования, вложенное в контейнер LXC). Установка представляет собой несколько привязных скакунов вокруг места, оканчивающегося на:
mount --rbind / /
mount -o remount,ro /
Я пробовал каждую комбинацию:
mount options=(ro, remount, bind) / -> /,
Я мог придумать. Добавление правила audit mount,
показывает все другие монтирования, которые я делаю, но не те, которые работают на /. Самое близкое, что я могу получить, это mount -> /,
, который, по-моему, слишком слабый. Даже mount / -> /,
отрицает перемонтирование (в то время как первое связывание монтируется)
Согласно: http://lwn.net/Articles/281157/
У привязки есть те же параметры, что и у оригинала, так что вы можете связать только монтирование rw-копии / ... если вы не перемонтируете весь свой / ро ... что, я думаю, вы не хотите делать.
Должен быть в два этапа.
mount --bind /vital_data /untrusted_container/vital_data
mount -o remount,ro /untrusted_container/vital_data