マウント操作を拒否するAppArmor

この操作を許可するようにapparmorを説得するにはどうすればよいですか？

[28763.284171] type=1400 audit(1344273461.387:192): apparmor="DENIED"
operation="mount" info="failed type match" error=-13 parent=7101
profile="lxc-container-with-nesting" name="/" pid=7112 comm="su"
flags="ro, remount, bind"

基本的に、ルートファイルシステムを読み取り専用で再マウントしようとしています（LXCコンテナーにネストされたマウント名前空間に）。セットアップは、次で終わる場所の周りのいくつかのバインドマウントです。

mount --rbind / /
mount -o remount,ro /

私は次のすべての組み合わせを試しました：

mount options=(ro, remount, bind) / -> /,

と思いました。ルールaudit mount,を追加すると、他のすべてのマウントが表示されますが、/で動作しているマウントは表示されません。私が得ることができる最も近いものはmount -> /,、私見が緩すぎるということです。mount / -> /,再マウントも拒否します（最初のバインドマウントは許可されます）。

による：http : //lwn.net/Articles/281157/

バインドには元のオプションと同じオプションがあるため、/全体をroに再マウントしない限り、/ ..のrwコピーをバインドマウントすることしかできません。

2つのステップである必要があります。

mount --bind /vital_data /untrusted_container/vital_data

mount -o remount,ro /untrusted_container/vital_data