Dovecot lxc apparmor отклонен (Buster)

Question 1

Пробовали ли вы использовать неограниченное значение AppArmor?

lxc.apparmor.profile: unconfined

Установите его в вашем /etc/pve/lxc/CTID.conf

Answer

Пробовали ли вы использовать неограниченное значение AppArmor?

lxc.apparmor.profile: unconfined

Установите его в вашем /etc/pve/lxc/CTID.conf

Question 2

К сожалению, обновление сервисного модуля для избежания PrivateTmp не работает в LXC без предоставления необходимых привилегий через AppArmor на хосте.

После изучения вариантов выяснилось, что больше нет способа сделать это исключительно из контейнера.

Чтобы это заработало, я удалил все правки в контейнере (то есть избавился от конфигурации PrivateTmp) и перешел к изменению политик AppArmor следующим образом:

На хосте создайте новую политику AppArmor /etc/apparmor.d/lxc/lxc-dovecotи заполните ее следующим:

# Do not load this file. Rather, load /etc/apparmor.d/lxc-containers, which
# will source all profiles under /etc/apparmor.d/lxc
profile lxc-container-dovecot flags=(attach_disconnected,mediate_deleted) {
  #include <abstractions/lxc/container-base>
  #include <abstractions/lxc/start-container>
  deny mount fstype=devpts,
  mount fstype=cgroup -> /sys/fs/cgroup/**,
  mount fstype=cgroup2 -> /sys/fs/cgroup/**,
  mount options=(rw,bind),
  mount options=(rw,rbind),
  mount options=(rw,rshared),
  mount options=(ro,nosuid,noexec,remount,bind,strictatime),
}

Перезагрузите AppArmor с помощью
```
$ systemctl restart apparmor.service
```
Настройте контейнер на использование нового профиля, добавив следующую строку в конфигурацию контейнера LXC, обычно по адресу /var/lib/lxc/$container/config:
```
# Add or edit the following line to set the apparmor profile used
lxc.apparmor.profile = lxc-container-dovecot
```

Перезапустите контейнер:

$ lxc-stop -n $container && sleep 1 && lxc-start -d -n $container

Answer

К сожалению, обновление сервисного модуля для избежания PrivateTmp не работает в LXC без предоставления необходимых привилегий через AppArmor на хосте.

После изучения вариантов выяснилось, что больше нет способа сделать это исключительно из контейнера.

Чтобы это заработало, я удалил все правки в контейнере (то есть избавился от конфигурации PrivateTmp) и перешел к изменению политик AppArmor следующим образом:

На хосте создайте новую политику AppArmor /etc/apparmor.d/lxc/lxc-dovecotи заполните ее следующим:

# Do not load this file. Rather, load /etc/apparmor.d/lxc-containers, which
# will source all profiles under /etc/apparmor.d/lxc
profile lxc-container-dovecot flags=(attach_disconnected,mediate_deleted) {
  #include <abstractions/lxc/container-base>
  #include <abstractions/lxc/start-container>
  deny mount fstype=devpts,
  mount fstype=cgroup -> /sys/fs/cgroup/**,
  mount fstype=cgroup2 -> /sys/fs/cgroup/**,
  mount options=(rw,bind),
  mount options=(rw,rbind),
  mount options=(rw,rshared),
  mount options=(ro,nosuid,noexec,remount,bind,strictatime),
}

Перезагрузите AppArmor с помощью
```
$ systemctl restart apparmor.service
```
Настройте контейнер на использование нового профиля, добавив следующую строку в конфигурацию контейнера LXC, обычно по адресу /var/lib/lxc/$container/config:
```
# Add or edit the following line to set the apparmor profile used
lxc.apparmor.profile = lxc-container-dovecot
```

Перезапустите контейнер:

$ lxc-stop -n $container && sleep 1 && lxc-start -d -n $container

Dovecot lxc apparmor отклонен (Buster)

решение1

решение2

Связанный контент