3

Я ищу способ легко перевернуть одну строку из /var/log/syslog о которой сообщает AppArmor, для профиля в режиме жалоб. Я видел, что, используя aa-genprof , он использует то, что сообщается в системном журнале , для создания правил. По большей части я смог написать свои правила, чтобы разрешить то, что нужно, но теперь я застрял в этих двух строках из моего системного журнала:

[88529.103991] аудит: тип = 1400 аудит (1414408592.500: 5298): apparmor = "РАЗРЕШЕНО" операция = "монтировать" информация = "ошибка совпадения типа" ошибка = -13 профиль = "docker-das" имя = "/var/lib/docker/btrfs/"pid = 9289 comm =" docker "srcname ="/var/lib/docker/btrfs/"flags =" rw, bind "

[88529.104010] аудит: тип = 1400 аудит (1414408592.500: 5299): apparmor = операция "РАЗРЕШЕНО" = "монтировать" информация = "сбой при сопоставлении типов" ошибка = -13 профиль = "docker-das" имя = "/var/lib/docker/btrfs/"pid = 9289 comm =" docker "flags =" rw, private "

Я попытался добавить следующую строку (и несколько вариантов во время игры) в свой профиль docker-das но безрезультатно:

mount fstype=btrfs -> /var/lib/docker/btrfs/

Единственная причина, по которой я вижу, что это не сработает, это то, что comm равняется docker а не mount (что и происходит при использовании собственных команд mount).

К сожалению, мне кажется, что aa-genprof может помочь (я полагаю, что профиль имеет нестандартное имя), а документация AppArmor (хотя и полезная, теперь я нашел нужную страницу в их вики) - беспорядок ,

Если есть простой способ создания требуемой строки, то это было бы очень полезно, иначе кто-нибудь может увидеть, что не так с правилом, или выяснить, какое правило мне нужно, чтобы разрешить монтирование, показанное в журналах. То, что я хотел бы, чтобы иметь самое сильное соответствие для строки журнала, чтобы затем я мог решить, какие части не нужны.

1 ответ1

0

Хотя это и не полное решение (оно не решает возможность создания правила сопоставления из какой-либо строки журнала), следующее решение - лучшее решение, которое я мог бы найти для конкретной проблемы, и оно должно быть достаточно безопасным:

deny mount /dev/**,
mount -> /var/lib/docker/btrfs/

Но все равно было бы неплохо иметь возможность получить максимально возможное совпадение для записи в журнале, чтобы я мог затем использовать ее или сделать ее более слабой (если я хочу).

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .