Dokumentationlxc-execute gibt kein Apparmor-Profil ein, aber der von ihm erzeugte Container wird begrenzt. 6.9.1. Anpassen von Containerrichtlinien
Wenn du das findest lxc-Start aufgrund eines legitimen Zugriffs fehlschlägt, der durch die Apparmor-Richtlinie verweigert wird, können Sie das lxc-start-Profil wie folgt deaktivieren:
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.lxc-start
sudo ln -s /etc/apparmor.d/usr.bin.lxc-start /etc/apparmor.d/disabled/
Das wird machen lxc-Start Unbegrenzt ausführen, den Container selbst jedoch weiterhin einschränken. Wenn Sie auch die Eingrenzung des Containers deaktivieren möchten, dann deaktivieren Sie zusätzlich die usr.bin.lxc-start Profil müssen Sie Folgendes hinzufügen:
lxc.aa_profile = unbeschränkt
in die Konfigurationsdatei des Containers.
LXC wird mit einigen alternativen Richtlinien für Container ausgeliefert. Wenn Sie Container innerhalb von Containern ausführen möchten (Verschachtelung), können Sie das Profil lxc-container-default-with-nesting verwenden, indem Sie die folgende Zeile zur Containerkonfigurationsdatei hinzufügen
lxc.aa_profile = lxc-container-default-with-nesting
Wenn Sie libvirt innerhalb von Containern verwenden möchten, müssen Sie diese Richtlinie bearbeiten (die in definiert ist). /etc/ apparmor.d/lxc/lxc-default-with-nesting), indem Sie die folgende Zeile auskommentieren:
mount fstype=cgroup -> /sys/fs/cgroup/**,
und laden Sie die Richtlinie neu.
Beachten Sie, dass die Verschachtelungsrichtlinie mit privilegierten Containern weitaus weniger sicher ist als die Standardrichtlinie, da sie das erneute Mounten von Containern ermöglicht / sys und / proc an nicht standardmäßigen Standorten unter Umgehung des Apparmor-Schutzes.
Unprivilegierte Container haben diesen Nachteil nicht, da der Container-Root nicht auf Root-Container schreiben kann proc
und sys Dateien.
Ein weiteres mit lxc geliefertes Profil ermöglicht Containern das Mounten von Blockdateisystemtypen wie ext4. Dies kann in manchen Fällen nützlich sein, etwa bei der Maas-Bereitstellung, gilt jedoch allgemein als unsicher, da die Superblock-Handler im Kernel nicht auf die sichere Handhabung nicht vertrauenswürdiger Eingaben überprüft wurden.
Wenn Sie einen Container in einem benutzerdefinierten Profil ausführen müssen, können Sie unter ein neues Profil erstellen /etc/apparmor.d/ lxc/. Sein Name muss mit beginnen lxc- damit lxc-Start um zu diesem Profil wechseln zu dürfen. Der lxc-Standard Das Profil enthält die wiederverwendbare Abstraktionsdatei /etc/apparmor.d/abstractions/lxc/container-base. Eine einfache Möglichkeit, ein neues Profil zu erstellen, besteht daher darin, dasselbe zu tun und dann am Ende Ihrer Richtlinie zusätzliche Berechtigungen hinzuzufügen.
Nachdem Sie die Richtlinie erstellt haben, laden Sie sie mit:
sudo apparmor_parser -r /etc/apparmor.d/lxc-containers
Das Profil wird nach einem Neustart automatisch geladen, da es aus der Datei stammt /etc/apparmor.d/ lxc-containers. Zum Schluss Container herstellen CN Benutze das neu lxc-CN-Profil, fügen Sie der Konfigurationsdatei die folgende Zeile hinzu:
lxc.aa_profile = lxc-CN-Profil