我需要在我的特权容器debugfs上使用 AppArmor禁用。
在容器内,任何人都可以运行并查看所有主机文件。
当我搜索如何做到这一点时,我发现这个链接写着我只需要运行: debugfs /dev/sda1
umount debugfs
不幸的是,我仍然可以使用debugfs.
我不想删除debugfs,因为它很容易带来这个文件。
我也试过:
mv /lib/systemd/system/sys-kernel-debug.mount/lib/systemd/system/sys-kernel-debug.mount.disabled
但我仍然能够运行debugfs /dev/sda1。
我想用 AppArmor 阻止它,所以我使用了deny mount fstype=debugfsanddeny /sys/kernel/debug/* mrwklx但它没有阻止它。
我的 AppArmor 文件:
#include <tunables/global>
profile docker-profile flags=(attach_disconnected,mediate_deleted) {
#include <abstractions/base>
network,
capability,
file,
umount,
ptrace,
mount,
pivot_root,
deny mount fstype=debugfs,
deny /sys/kernel/debug/* mrwklx,
}