Estoy buscando una manera de revertir fácilmente una sola línea /var/log/sysloginformada por AppArmor para un perfil en modo de queja. He visto que al usarlo aa-genprofse utiliza lo que se informa al syslog para ayudar a generar reglas. En su mayor parte, he podido escribir mis reglas a mano para permitir lo que se necesita, pero ahora estoy atascado con estas dos líneas de mi syslog:
[88529.103991] auditoría: tipo=1400 auditoría(1414408592.500:5298): apparmor="ALLOWED" operación="mount" info="error de coincidencia de tipo" error=-13 perfil="docker-das" name="/var/lib /docker/btrfs/" pid=9289 comm="docker" srcname="/var/lib/docker/btrfs/" flags="rw, enlazar"
[88529.104010] auditoría: tipo=1400 auditoría(1414408592.500:5299): apparmor="ALLOWED" operación="mount" info="error de coincidencia de tipo" error=-13 perfil="docker-das" name="/var/lib /docker/btrfs/" pid=9289 comm="docker" flags="rw, privado"
Intenté agregar la siguiente línea (y varias variantes mientras jugueteaba) a mi docker-dasperfil, pero fue en vano:
mount fstype=btrfs -> /var/lib/docker/btrfs/
La única razón por la que puedo ver que esto no funcionaría es que commes igual a dockeropuesto a mount(lo cual ocurre cuando se usan comandos de montaje nativos).
Desafortunadamente, parece que no puedo aa-genprofser de ninguna ayuda (creo que debido a que el perfil tiene un nombre no estándar) y la documentación de AppArmor (aunque útil ahora que encontré la página correcta en su wiki) es un desastre.
Si hay una manera fácil de generar la línea requerida, entonces sería un gran conocimiento tenerlo; de lo contrario, ¿alguien puede ver qué está mal con la regla o determinar qué regla necesito para permitir los montajes que se muestran en los registros? Lo que me gustaría es tener la coincidencia más fuerte para una línea de registro para poder decidir qué partes no son necesarias.
Respuesta1
Aunque no es una solución completa (no soluciona el hecho de poder generar una regla coincidente a partir de cualquier línea de registro), la siguiente es la mejor solución que se me ocurrió para el problema específico y debería ser lo suficientemente segura:
deny mount /dev/**,
mount -> /var/lib/docker/btrfs/
Pero aún así sería bueno poder obtener la coincidencia más sólida posible para la entrada de registro para luego poder usarla o debilitarla (si lo deseo).