AppArmor ปฏิเสธการดำเนินการเมาท์


9

ฉันจะโน้มน้าวใจผู้บุกรุกให้อนุญาตการดำเนินการนี้ได้อย่างไร

[28763.284171] type=1400 audit(1344273461.387:192): apparmor="DENIED"
operation="mount" info="failed type match" error=-13 parent=7101
profile="lxc-container-with-nesting" name="/" pid=7112 comm="su"
flags="ro, remount, bind"

โดยทั่วไปฉันพยายามติดตั้งระบบไฟล์รูทแบบอ่านอย่างเดียว (ในเนมสเปซเมาท์ซ้อนในคอนเทนเนอร์ LXC) การตั้งค่าเป็นการเชื่อมโยงสองสามรอบสถานที่ที่ลงท้ายด้วย:

mount --rbind / /
mount -o remount,ro /

ฉันลองทุกชุด:

mount options=(ro, remount, bind) / -> /,

ฉันคิดได้ การเพิ่มกฎaudit mount,จะแสดงการเมานท์อื่น ๆ ทั้งหมดที่ฉันทำ แต่ไม่ใช่การเมาต์บน / ฉันจะได้ใกล้เคียงที่สุดคือmount -> /,IMHO ที่หลวมเกินไป แม้แต่mount / -> /,ปฏิเสธการเมานต์ใหม่ (ในขณะที่อนุญาตให้ผูกภูเขาครั้งแรกได้)


คุณสามารถรับความช่วยเหลือได้ที่นี่: lists.ubuntu.com/mailman/listinfo/apparmor

คำตอบ:


2

ตาม: http://lwn.net/Articles/281157/

Bind's มีตัวเลือกเหมือนกับต้นฉบับดังนั้นคุณสามารถผูกได้เฉพาะสำเนา rw ของ / .. เว้นแต่คุณจะเมานท์ทั้งหมด / ไปที่ .. ซึ่งฉันเดาว่าคุณไม่ต้องการทำ

จำเป็นต้องอยู่ในสองขั้นตอน

mount --bind /vital_data /untrusted_container/vital_data

mount -o remount,ro /untrusted_container/vital_data


จริงๆแล้วนั่นคือสิ่งที่ฉันต้องการจะทำ ไดเร็กทอรีทั้งหมดที่จำเป็นต้องเขียนได้ (มีเพียงไม่กี่ btw) อยู่ในระบบไฟล์อื่น ปัญหาเดียวคือฉันไม่สามารถโน้มน้าวให้ AppArmor อนุญาตการดำเนินการเฉพาะนี้
Grzegorz Nosek

อืมคุณอาจจะสามารถปิดใช้งานเครื่องมือ
Grizly

1
ใช่ฉันสามารถปิดใช้งาน AppArmor หรืออนุญาตให้ติดตั้งอะไรก็ได้บน / ตามที่ฉันพูดถึงในคำถาม แต่ถึงกระนั้นก็ไม่ได้ช่วยฉันถ้าฉันต้องการได้รับประโยชน์จาก AppArmor
Grzegorz Nosek

คุณสามารถลองใช้ NFS sourceforge.net/mailarchive/ …
Grizly
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.