Назад | Перейти на главную страницу

lxc с apparmor - где должны быть определены профили

я создал /root/example.sh из Вот у хоста, а с aa-genprof это отрицал.

# ./example.sh
This is an apparmor example.
./example.sh: line 5: /usr/bin/touch: Permission denied
File created
./example.sh: line 8: /bin/rm: Permission denied
File deleted

отлично - работает!

Но если скопировать в контейнеры (при этом /root папка) работает нормально (без ограничений).

Сначала подумайте, чтобы установить apparmor в контейнер, но подождите !!! некоторые процессы внутри контейнеров регистрируются в системном журнале хоста (postdrop запрещен доступ к dynamicmaps.cd.d - и этот postdrop выполняется в контейнере!).

Так или иначе, я должен добавить example.sh в host apparmor.d, и это также должно повлиять на все контейнеры ... Но как?