LXC - 生成された衣類設定ファイルを使用しますが、服の状態の表示は制限されません。

LXC - 生成された衣類設定ファイルを使用しますが、服の状態の表示は制限されません。

私は権限のないlxcコンテナ(rootとして実行されますが、ユーザーの名前空間を使用)を使用し、次の設定を使用して衣服を利用しました。

lxc.apparmor.profile = generated
lxc.apparmor.allow_nesting = 1

コンテナが実行されると、服のプロファイルが実際に作成され、システムログにロードされていることがわかります。たとえば、

Jan 15 04:00:16 localhost kernel: [1315978.637961] audit: type=1400 audit(1673776816.182:395): apparmor="STATUS" operation="profile_remove" profile="/usr/bin/lxc-start" name="lxc-apache_</var/lib/lxc>" pid=2951275 comm="apparmor_parser"
Jan 15 04:00:34 localhost kernel: [1315996.830889] audit: type=1400 audit(1673776834.374:396): apparmor="STATUS" operation="profile_load" profile="/usr/bin/lxc-start" name="lxc-apache_</var/lib/lxc>" pid=2953280 comm="apparmor_parser"


ls -la '/var/lib/lxc/apache/apparmor/lxc-apache_<-var-lib-lxc>'
-rw------- 1 root root 38155 Jan 15 04:00 'lxc-apache_<-var-lib-lxc>'

ただし、実行すると、aa-status次のような結果が表示されます。

   /usr/bin/busybox (2954962) lxc-apache_</var/lib/lxc>//&:lxc-apache_<-var-lib-lxc>:unconfined
   /usr/sbin/sshd (2956272) lxc-apache_</var/lib/lxc>//&:lxc-apache_<-var-lib-lxc>:unconfined
   /usr/sbin/httpd (2956340) lxc-apache_</var/lib/lxc>//&:lxc-apache_<-var-lib-lxc>:unconfined
   /usr/sbin/httpd (2956353) lxc-apache_</var/lib/lxc>//&:lxc-apache_<-var-lib-lxc>:unconfined
   /usr/sbin/httpd (2956363) lxc-apache_</var/lib/lxc>//&:lxc-apache_<-var-lib-lxc>:unconfined
   /usr/bin/busybox (2956473) lxc-apache_</var/lib/lxc>//&:lxc-apache_<-var-lib-lxc>:unconfined

私が正しく理解したら、2つの服のプロファイルが適用されていると思いますlxc-apache_</var/lib/lxc>//&lxc-apache_<-var-lib-lxc>:unconfined

unconfinedモードで同じ設定ファイルを2番目にロードするように求めるメッセージが何を意味するのかわかりません。これはnestingおよび/またはを使用した結果ですかuserns

コンテナは許可されていない方法で実行されるため、コンテナのセキュリティには興味がありませんが、この状況でAppArmorがどのように機能するかに興味があります。

関連情報