Мне нужно отключить debugfs с AppArmor на моем привилегированном контейнере.
Внутри контейнера любой может просто запустить debugfs /dev/sda1 и просмотреть все файлы хоста.
Когда я искал какчтобы сделать это, я нашел эту ссылку, которая написала, что мне просто нужно запустить:
umount debugfs
К сожалению, я все еще могу использовать debugfs.
Я не хочуудалить debugfs, потому что этот файл легко вывести.
Я пробовал также:
mv /lib/systemd/system/sys-kernel-debug.mount/lib/systemd/system/sys-kernel-debug.mount.disabled
Но я все еще могу запустить debugfs /dev/sda1.
Я хочу заблокировать его с помощью AppArmor, поэтому я использовал deny mount fstype=debugfs и deny /sys/kernel/debug/* mrwklx, но он не блокирует его.
Мой файл AppArmor:
#include <tunables/global>
profile docker-profile flags=(attach_disconnected,mediate_deleted) {
#include <abstractions/base>
network,
capability,
file,
umount,
ptrace,
mount,
pivot_root,
deny mount fstype=debugfs,
deny /sys/kernel/debug/* mrwklx,
}