我需要在我的特权容器上使用AppArmor禁用debugfs。
在容器内,任何人都可以运行debugfs /dev/sda1并查看所有主机文件。
当我搜索操作方法时,发现this链接写着我只需要运行:
umount debugfs
很遗憾,我仍然可以使用debugfs。
我不想删除debugfs,因为它很容易带来此文件。
我也尝试过:
mv /lib/systemd/system/sys-kernel-debug.mount/lib/systemd/system/sys-kernel-debug.mount.disabled
但是我仍然可以运行debugfs /dev/sda1。
我想使用AppArmor阻止它,所以我使用了deny mount fstype=debugfs和deny /sys/kernel/debug/* mrwklx,但它没有阻止它。
我的AppArmor文件:
#include <tunables/global>
profile docker-profile flags=(attach_disconnected,mediate_deleted) {
#include <abstractions/base>
network,
capability,
file,
umount,
ptrace,
mount,
pivot_root,
deny mount fstype=debugfs,
deny /sys/kernel/debug/* mrwklx,
}