问题标签 [apparmor]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
0 回答
1223 浏览

ruby-on-rails - 系统上启用了 AppArmor,但无法加载 docker-default 配置文件

我正在使用 Ubuntu Linux。我试图使用 Docker 部署 Rails 应用程序。当我运行 $ sudo make run 时显示此错误。

错误:服务“游侠”构建失败:系统上启用了 AppArmor,但无法加载 docker-default 配置文件:运行/sbin/apparmor_parser apparmor_parser -Kr /var/lib/docker/tmp/docker-default749298809失败并输出:apparmor_parser:无法替换“docker-default”。没有权限; 试图在受限时加载配置文件?

错误:退出状态 243 Makefile:55:目标“依赖项”的配方失败 make:*** [依赖项] 错误 1

需要帮助来克服这种情况。

0 投票
1 回答
101 浏览

tcpdump - Debian Buster:“tcpdump -w 文件”仅适用于某些目录

以下命令(称为 root 用户,有和没有-i eno

仅适用于某些目录,例如。/tmp/root。但它不适用于其他目录,例如不适用于/temp创建:

停止apparmor了,但它没有帮助。

启用其他目录的任何想法?

0 投票
1 回答
1387 浏览

lxc - 无法设置 lxc.apparmor.profile

我无法禁用 lxc 容器的 apparmor:

出了什么问题以及如何设置属性?

0 投票
1 回答
503 浏览

python - 使用 Postgresql、Supervisord 和 Docker 的 Apparmor 配置文件

我正在尝试为管理 Postgres 和 Cron 服务Apparmor的 Docker 容器设置配置文件。Supervisord

我的Apparmor个人资料如下:

我有很多卷,因为我将根文件系统设为只读。因此,我的 docker-compose 文件如下所示:

postgres Dockerfile 如下:

当我启动容器时,报告由于权限被拒绝而无法打开Apparmor命名卷中的某些文件:pgdata

docker-compose 命令报如下错误:

如果我没记错的话,拒绝的操作是打开我的命名卷中名为 pgdata 的 Python 库。如何允许我的容器通过 apparmor 配置文件访问此目录中的文件?我尝试使用主机卷,但它不起作用。

我已经尝试过执行以下操作:

但它不起作用......

0 投票
1 回答
1060 浏览

docker - 由于 AppArmor 导致 Docker 杀死容器“权限被拒绝”。只是为什么?

我试图杀死我通过docker-compose. 通过正常停止 (Ctrl+C) 或docker-compose down我遇到以下错误:

我只是在寻找答案WHY。我试图更好地理解 AppArmor,但理解为什么我不能在一切都有助于理解发生了什么之前停止容器。

我看到这是许多人遇到的错误。1 2 3 4 但是,大多数答案都提出了解决方法,但没有解决方案甚至像1这样的解释性答案也直接深入 AppArmor 和配置文件。从 docker 文档中,我看到 docker 有一个默认的 AppArmor 策略docker-default。我部分理解了这个概念,但仍然不明白为什么我不能通过用户和我启动它们的环境来停止容器。

如果我试图总结我的问题:

  • 我以用户身份启动了一些容器,为什么我不能停止它们。sudo也不起作用。那谁能阻止他们呢?
  • 我是否需要每个容器的 AppArmor 配置文件?
  • 我觉得重新启动或禁用 AppArmor 不是一个好主意。我应该这样做吗?什么是理想的解决方案?

欢迎任何反馈或解释。谢谢。

0 投票
1 回答
4205 浏览

docker - Docker容器由于apparmor无法启动,为什么?

我有一个全新安装的 ubuntu 18.04。唯一安装的程序是 docker。

但是如果我尝试运行 hello-world 容器来测试安装,运行失败:

系统上没有安装 apparmor 配置文件:

如何安装配置文件?并修复错误?

我正在尝试运行:

我通过以下方式安装了docker:

系统是 LXC 虚拟服务器上的 Ubuntu 18.04

乔纳斯

0 投票
1 回答
345 浏览

linux - Linux Mint 上的各种 Docker 容器路径因权限错误而开始失败

我正在 Linux Mint Docker 主机上开发 Node 多容器应用程序,通过 Snapcraft 安装 Docker 和 Docker Compose。有四个容器,其中两个具有针对主机上项目文件夹的绑定安装卷。这都是非常标准的东西。

几天前,一些容器开始因权限错误而失败。这是我的 Docker Compose 命令,以及来自失败容器的日志:

我不确定是什么原因造成的,因为开发机器上没有任何重大变化。我做了一些调查,发现 AppArmor 开始失败。dmesg以下是主机上的一些日志:

所以,它看起来像一个 AppArmor 问题。AppArmor 有可能已经进行了系统更新,但据我所知,我并没有具体更改它。我该怎么做才能恢复正常的 Docker 操作?

0 投票
0 回答
70 浏览

docker - 我可以将 Google Container Optimized OS 用作安全的容器沙箱吗?

我有一个运行 Googles Container Optimized OS 的 VM,我想允许运行用户提供的代码 - 每个用户都有自己的容器。

这段代码可能是恶意的——我想将代码的范围限制在它自己的容器中。

https://cloud.google.com/container-optimized-os/docs/concepts/security

问题

A. 操作系统是否为容器添加了足够的保护以用作沙盒?该文档提到增加了安全性,但没有提及它在容器中包含恶意代码的有效性。

B. 可以使用 docker 卷来限制在容器中运行的代码的文件系统范围吗?我想使用 CLI 提供的 docker volume 为每个用户在磁盘上提供一个他们可以写入的文件夹,但我想阻止用户读取彼此的数据。

非常感谢任何帮助,谢谢。

0 投票
1 回答
479 浏览

linux - 在我的新 debian 10 “buster”上找不到 apparmor 命令

当我尝试运行时,我最近从 ubuntu 切换到 Debian 10

服装

它说即使是 sudo 也找不到命令。

然后我检查了我的 $PATH 变量,它说“

bash: /usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games: 没有这样的文件或目录

为什么它说没有这样的文件或目录。

我也安装了

apparmor-utils

尽管如此,情况并没有改变。

请帮助我,这是我在 StackOverflow 上的第一个问题

0 投票
1 回答
265 浏览

local - 未找到 Apparmor aa-genprof /etc/apparmor.d//local/usr.lib.dovecot.anvil

嗨,我是使用 apparmor 的新手。所以我在我的 Debian 10 上创建了一个简单的脚本来看看 apparmor 是如何工作的:
#! /bin/sh echo "hi from Apparmor">/tmp/hi.txt cat /tmp/hi.txt rm /tmp/hi.txt

然后我将文件另存为s.sh 并尝试生成配置文件: 在此处输入图像描述

请告诉我如何解决这个问题。感谢您的任何回答!