问题标签 [apparmor]

我在 Docker 文档上读到，可以加载自定义 AppArmor 策略并要求 Docker 为特定容器加载它们。

是否可以在 Docker Swarm 服务上使用这些策略（前提是集群的所有节点都具有 AppArmor 策略）？

谢谢！

我正在使用下一个 docker gui 容器：

当我在没有--privileged标志的情况下运行它时，polkit-gnome-authentication-agent-1（PolicyKit Authentication Agent在启动应用程序中）无法启动并且在某些阶段需要 root 权限的应用程序（例如gpk-application-Add/Remove Software菜单项）无法获得这些权限。

我不想使用--privileged标志，所以我正在修改此类应用程序的桌面文件，添加beesu为解决方法：

预先询问 root 密码（即使您在此特定运行中不需要）并触发额外警告 gpk-application 不应从 root 运行。

是否有更好的解决方法（理想情况下允许polkit-gnome-authentication-agent-1成功运行）？

我的 docker 主机是 ESXi 6.5 上的 Ubuntu 16.04 VM，已启用 apparmor。在我看来，我需要启用一些 apparmor 功能，但在 /var/log/kern.log 中没有看到 apparmor 审计记录。

我在 ubuntu 14.04 上安装了 mysql 服务器（版本：5.5.54）。我有一个脚本每天优化数据库，然后重新启动 mysql 服务。

今天，我注意到mysql服务器没有正确重启，当我连接到mysql时出现这个错误。

在系统日志中，我发现这些消息：

mysql apparmor文件

假设我想使用 Docker 构建一个托管环境（以便我可以根据需要进行扩展）。

我想：

1. 每个用户都能够执行任意代码和
2. 每个用户看不到或影响其他用户

这与 Docker 或 Apparmor 等其他工具有关吗？

我希望用户能够运行 PHP 代码。如果一个用户获得了很多点击并且使用了很多 cpu，我希望它不会影响另一个我已经承诺一定数量的 cpu 使用的用户。也许我错过了完全控制这类事物的概念？

在 Ubuntu 上用于 docker 的 AppArmor 中，我有一个目录 /var/www ，其中包含一堆虚拟主机的文件。我想拒绝除一个以外的所有路径，以便每个虚拟主机只能看到自己的文件。我尝试了很多事情，例如：

请注意，我在 **^ 之后有一个逗号 - 我认为这是因为 {**^} 语法实际上还不受支持。有谁知道什么时候会支持或如何解决这个问题？

判断从：

http://wiki.apparmor.net/index.php/QuickProfileLanguage

它似乎仍然是一个“提议的功能”。

uname -a Linux testerserver 4.4.0-75-generic #96-Ubuntu SMP Thu Apr 20 09:56:33 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

我已经快速安装了 libreoffice，由于 apparmor 权限，它的打印子系统无法正常工作。系统日志显示以下内容：

我已经发布了一个错误报告，但仍然没有得到回复。所以基本上我需要一个解决方法。我创建了一个个人资料：

但它似乎不起作用。我做错了什么？这里有apparmor专家吗？

在运行我的 opencpu 应用程序时尝试读取部署在我的 ec2 实例中的文件时，我收到文件连接错误。这同样适用于 rstudio 服务器上的单用户版本。

我检查了 /var/log/kern.log 中的日志，发现了这个

这是什么意思？我已将 chmod 777 设置为我应该从中读取数据的所有文件。我应该如何让我的应用程序读取这些文件？

编辑：我将 /** r 添加到我的 /etc/apparmor.d/opencpu.d/custom 文件中。仍然无法读取我的 csv 文件。但是 kern.log 文件看起来像这样

我交叉检查了我的文件路径并验证了这些文件确实存在于我必须读取它们的位置。

我使用 apparmor 作为 libvirt-qemu 的加固层，一切正常，但有一点我无法系统地解决，让我解释一下：

当创建一个新的 qemu 实例时，配置文件会从 /etc/apparmor.d/libvirt/TEMPLATE.qemu 生成到一个路径为 /etc/apparmor.d/libvirt/libvirt-81303229-df4c-4b18-b33b-277bcda81b0f 的文件中.

当实例关闭时，apparmor 会从内核中卸载配置文件，并且可以按预期进行。但是，如果我明确删除该实例，我希望该配置文件也会从文件系统中删除，但它不会并且仍然存在于文件系统中。一段时间后，我的 libvirt 实例配置文件非常混乱

是的..我可以写一个cron作业，删除不必要的libvirt配置文件......但是..有没有更清晰的解决方案，也许是apparmor的内置功能？

谢谢

所以 MySQL 在服务器重启后不会重启/启动。未编辑任何配置文件/进行任何更改。我和这个问题有同样的问题，apparmor 导致了这些日志条目：

当这些 execptions 添加到/etc/apparmor.d/usr.sbin.mysqld as 时：

然后作为根：service apparmor reload; service mysql restart;

日志现在只显示：

我没有进行任何配置更改，所以我真的不知道该去哪里找。我打算重新安装 MySQL，但是，我有我没有备份的数据:(请帮助

我们在 apparmor 中运行一个执行用户代码的应用程序，当我们执行用户代码时，我想动态生成一个配置文件，根据他们的用户 ID 限制他们对目录的写访问。

apparmor 是否很好地支持这一点？我能想到的唯一方法是创建一个临时配置文件，其中包含适当的条目来限制其权限并重新启动 apparmor 守护程序。有一个更好的方法吗？这似乎是矫枉过正。