衣類はlxc-startのマウント/実行を拒否します。

衣類はlxc-startのマウント/実行を拒否します。

/run /run/lock衣服が実行時にマウントおよび/または実行を拒否するUbuntuで特権コンテナを設定しようとしています。sys/fs/cgrouplxc-start

不規則性

[ 1621.278919] audit: type=1400 audit(1499177276.634:12): apparmor="DENIED" operation="mount" info="failed flags match" error=-13 profile="/usr/bin/lxc-start" name="/run/" pid=2097 comm="systemd" fstype="tmpfs" srcname="tmpfs" flags="rw, nosuid, nodev, strictatime"
[ 1621.302331] audit: type=1400 audit(1499177276.658:13): apparmor="DENIED" operation="mount" info="failed flags match" error=-13 profile="/usr/bin/lxc-start" name="/run/lock/" pid=2097 comm="systemd" fstype="tmpfs" srcname="tmpfs" flags="rw, nosuid, nodev, noexec"
[ 1621.325944] audit: type=1400 audit(1499177276.682:14): apparmor="DENIED" operation="mount" info="failed flags match" error=-13 profile="/usr/bin/lxc-start" name="/sys/fs/cgroup/" pid=2097 comm="systemd" fstype="tmpfs" srcname="tmpfs" flags="rw, nosuid, nodev, noexec, strictatime"

lxc-start --version:2.0.6

カーネルバージョン:4.9

どのようなヒントがありますか?

答え1

apparmor-utils パッケージをインストールし、サーバー上で 2 つのセッションを開始します。セッションで次を実行します。

genprof /usr/bin/lxc-start

一方、実際にプロセスを実行します。その後、genprofセッションは、プロセスが実際にアクセスしたい項目を尋ねるメッセージを表示します。

答え2

Raman Sailopalが言ったように、genprofはここで助けることができます。誰ですかaa-genprof <path to application>

$ sudo aa-genprof /usr/bin/lxc-start

関連情報