~ubuntu-branches/ubuntu/quantal/lxc/quantal-201206191543

« back to all changes in this revision

Viewing changes to debian/apparmor/abstractions-lxc-container-default

Merge apparmor profile changes

Show diffs side-by-side

added added

removed removed

Lines of Context:
 
1
  network,
 
2
  capability,
 
3
  file,
 
4
  umount,
 
5
 
 
6
  # ignore DENIED message on / remount
 
7
  deny mount options=(ro, remount) -> /,
 
8
 
 
9
  # allow tmpfs mounts everywhere
 
10
  mount fstype=tmpfs,
 
11
 
 
12
  # allow mqueue mounts everywhere
 
13
  mount fstype=mqueue,
 
14
 
 
15
  # allow fuse mounts everywhere
 
16
  mount fstype=fuse.*,
 
17
 
 
18
  # the container may never be allowed to mount devpts.  If it does, it
 
19
  # will remount the host's devpts.  We could allow it to do it with
 
20
  # the newinstance option (but, right now, we don't).
 
21
  deny mount fstype=devpts,
 
22
 
 
23
  # allow bind mount of /lib/init/fstab for lxcguest
 
24
  mount options=(rw, bind) /lib/init/fstab.lxc/ -> /lib/init/fstab/,
 
25
 
 
26
  # deny writes in /proc/sys/fs but allow fusectl to be mounted
 
27
  mount fstype=binfmt_misc -> /proc/sys/fs/binfmt_misc/,
 
28
  deny @{PROC}/sys/fs/** wklx,
 
29
 
 
30
  # block some other dangerous paths
 
31
  deny @{PROC}/sysrq-trigger rwklx,
 
32
  deny @{PROC}/mem rwklx,
 
33
  deny @{PROC}/kmem rwklx,
 
34
  deny @{PROC}/sys/kernel/** wklx,
 
35
 
 
36
  # deny writes in /sys except for /sys/fs/cgroup, also allow
 
37
  # fusectl, securityfs and debugfs to be mounted there (read-only)
 
38
  mount fstype=fusectl -> /sys/fs/fuse/connections/,
 
39
  mount fstype=securityfs -> /sys/kernel/security/,
 
40
  mount fstype=debugfs -> /sys/kernel/debug/,
 
41
  deny mount fstype=debugfs -> /var/lib/ureadahead/debugfs/,
 
42
  mount fstype=proc -> /proc/,
 
43
  mount fstype=sysfs -> /sys/,
 
44
  deny /sys/[^f]*/** wklx,
 
45
  deny /sys/f[^s]*/** wklx,
 
46
  deny /sys/fs/[^c]*/** wklx,
 
47
  deny /sys/fs/c[^g]*/** wklx,
 
48
  deny /sys/fs/cg[^r]*/** wklx,