AppArmor ปฏิเสธการดำเนินการเมาท์

ฉันจะโน้มน้าวใจผู้บุกรุกให้อนุญาตการดำเนินการนี้ได้อย่างไร

[28763.284171] type=1400 audit(1344273461.387:192): apparmor="DENIED"
operation="mount" info="failed type match" error=-13 parent=7101
profile="lxc-container-with-nesting" name="/" pid=7112 comm="su"
flags="ro, remount, bind"

โดยทั่วไปฉันพยายามติดตั้งระบบไฟล์รูทแบบอ่านอย่างเดียว (ในเนมสเปซเมาท์ซ้อนในคอนเทนเนอร์ LXC) การตั้งค่าเป็นการเชื่อมโยงสองสามรอบสถานที่ที่ลงท้ายด้วย:

mount --rbind / /
mount -o remount,ro /

ฉันลองทุกชุด:

mount options=(ro, remount, bind) / -> /,

ฉันคิดได้ การเพิ่มกฎaudit mount,จะแสดงการเมานท์อื่น ๆ ทั้งหมดที่ฉันทำ แต่ไม่ใช่การเมาต์บน / ฉันจะได้ใกล้เคียงที่สุดคือmount -> /,IMHO ที่หลวมเกินไป แม้แต่mount / -> /,ปฏิเสธการเมานต์ใหม่ (ในขณะที่อนุญาตให้ผูกภูเขาครั้งแรกได้)

ตาม: http://lwn.net/Articles/281157/

Bind's มีตัวเลือกเหมือนกับต้นฉบับดังนั้นคุณสามารถผูกได้เฉพาะสำเนา rw ของ / .. เว้นแต่คุณจะเมานท์ทั้งหมด / ไปที่ .. ซึ่งฉันเดาว่าคุณไม่ต้องการทำ

จำเป็นต้องอยู่ในสองขั้นตอน

mount --bind /vital_data /untrusted_container/vital_data

mount -o remount,ro /untrusted_container/vital_data