问题标签 [apparmor]

我目前正在处理一个 bash 脚本，该脚本有一个为其正在运行的作业创建的用户。用户不存在于脚本之外。我正在尝试测试我的代码覆盖率，同时保持用户完好无损。

问题是测试用户无权访问代码覆盖文件夹。运行后chmod -R 777 /usr/local/bin/coverage我仍然得到/usr/bin/python: can't open file '/usr/local/bin/coverage': [Errno 13] Permission denied. 我还尝试使用 sudo 临时提升 bash 脚本中的用户，但由于用户只存在于文件中，因此 sudoers 文件会引发异常。

我目前没有想法，因为该用户的权限必须保持理想状态。有什么建议么？

我在用户模式（qemu:///session）下运行 libvirt。

我有 /usr/libexec/qemu-bridge-helper 与 suid 集和 owner:group 设置为 root:qemu。我已将 /etc/apparmor.d/abstractions 中的 qemu-bridge-helper 条目放在 /etc/apparmor.d/local/usr.sbin.libvirtd 中。更改后重新启动apparmor。

创建来宾失败。

dmesg 显示如下： [4822.650928] 审计：type=1400 审计（1519289598.015:142）：apparmor="DENIED" operation="exec" profile="/usr/sbin/libvirtd" name="/usr/libexec/qemu-网桥助手" pid=10051 comm="libvirtd" requested_mask="x" denied_mask="x" fsuid=6684 ouid=0

我在这里想念什么？为什么我仍然会收到错误消息？

我在 Ubuntu 16.04 上玩 apparmor 和 docker，我可以让它在容器上运行......有时

Docker 版本 18.03.0-ce，构建 0520e24

$ docker run -it ubuntu bash

结果导致 docker 容器按预期运行 ubuntu 16.04

$ sudo aa-status

显示 docker-default 在容器上处于活动状态

并$ cat /proc/sysrq-trigger通过 bash 在容器内运行返回预测的“权限被拒绝”，因为它被 default-docker apparmor 配置文件阻止，按照以下指南：https ://cloud.google.com/container-optimized-os/docs/how-到/secure-apparmor#creating_a_custom_security_profile

紧随其后的是

$ docker run -it --security-opt apparmor=unconfined ubuntu bash

$ sudo aa-status为和$ cat /proc/sysrq-trigger返回 的预期结果cat: /proc/sysrq-trigger: Input/output error

到目前为止一切都很好，但是现在如果我以分离模式运行容器，apparmor 配置文件将停止工作（参考：https ://docs.docker.com/engine/security/apparmor/#resources-for-writing-配置文件）

我能够构建 apparmor 配置文件并看到它以 aa-status 运行，但是当我执行到容器中时，没有任何内容被阻止。它不适用于 nginx 容器，我已经尝试过其他容器。但是，如果我在分离状态下运行，$ docker run -d ubuntu tail -f /dev/null无论我如何应用 --security-opt，它都不会阻止任何东西。

谁能解释 apparmor 如何与 docker 一起工作以及为什么会这样？

谢谢！

我最近在我的 Ubuntu 上安装了 Firejail。它说它有一个 Apparmor 支持，我已经在使用它了。

安装 Firejail 后，我在 Firejail 中制作了一些配置文件。

当我运行时firejail --apparmor firefox，Firejail 会加载 firefox 的特定配置文件。

但 Apparmor 正在加载firejail-default配置文件。

有没有办法告诉 apparmor 加载我已经存在的 firefox apparmor-profile 而不是 firejail-default。

这样两者都加载了他们的 Firefox 配置文件，而不仅仅是其中一个。

谢谢 ：）

我对 Docker 完全陌生，并试图从我从我的 aspnetcore 项目构建的图像中创建我的第一个容器。

映像已构建，我可以启动一个容器，但我想更改一些内容，因此我需要删除此容器。

这一步出现了问题。我试图阻止它或强行删除它，但我每次都有，但我得到的信息与这个问题完全相同： docker on ubuntu 16.04 error when Killing container

我有相同的操作系统，但更新版本的 docker。

在回答这个问题时，我不明白如何停止容器。

我听说过 apparmor，但我不知道如何处理它才能移除这个容器。

有人有想法吗？

谢谢

我有一个问题，我不确定如何在 AppArmor 中解决。

基本上我有一个执行程序的配置文件，让我们说

问题是，从那个可执行文件中，我调用了另一个，产生了一个进程，让我们称之为 /the/other/executable。

如何让 AppArmor 授予 /my/executable 调用 /the/other/executable 的权限？当然，这将在 /my/executable 已经运行时完成。

我尝试使用 qemu 的 ivshmem 设备，运行服务器后，我可以使用命令成功创建一个 vm：

然后我想用libvirt来启动vm，我的配置文件如下：

当我尝试使用 command 创建 vm 时virsh create testlinux1.xml，出现错误：

我在以下位置看到了同样的问题：Using IVSHMEM with libvirt virt-manager

我无法遵循那里的解决方案，因为我无法创建 vm， libvirt-<uuid>下没有文件/etc/apparmor.d/libvirt，而且我无法更改 AppArmor 模式来抱怨sudo aa-complain libvirt-<uuid> //replace <uuid> with uuid of vm。

谁能帮我弄清楚如何在创建文件之前更改模式以进行投诉？非常感谢！

我正在尝试使用 Apparmor 限制我的 docker 容器。Apparmor 正在我的机器上工作，并且已经强制执行了几个配置文件。

Docker 文档状态：

Docker automatically generates and loads a default profile for containers named docker-default

启动我的容器后

我希望 aa-status 显示 docker-default 配置文件，但事实并非如此。

我尝试设置--security-opt apparmor:docker-defaultand --security-opt apparmor:my-own-profile，这仍然导致运行无限制的容器。

cat /proc/$CONTAINER_PID/attr/current导致unconfined

我重新安装了 Docker，重新启动。同样的问题。

我重新安装了 Apparmor，重新启动。同样的问题

我在 Manjaro 上运行 Docker 版本 18.06.1-ce

我错过了什么吗？

我有一个每小时运行一次以清理表格的 PHP 脚本。（位置：/var/www/example.php）

当我运行这个 PHP 脚本（cronjob）时，它工作正常，但我有这个 apparmor 错误消息：

这是我的 Apparmor 个人资料：

我不想完全访问根目录，所以如果有人看到问题并可以提供帮助，那就太好了。

我可以在集群级别启用 pod 以使用默认的 secomp 和 apparmor 配置文件，还是我需要制作自己的准入控制器以将注释插入对象？

将其留给用户不是一种选择。