Аспро: ЛайтШоп [тема: Нужна помощь с AppArmor для контейнера LXC.]

Нужна помощь с AppArmor для контейнера LXC.

Fri, 18 Apr 2025 08:27:00 +0300

Нужна помощь с AppArmor для контейнера LXC. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Провел сегодня время, работая над этим для себя, а часть сегодняшнего вечера - только над этим. Фикс такой: внутри контейнера нужно сделать переопределения: Код: #/etc/apparmor.d/local/chrome
network inet dgram,
network inet6 dgram,
network inet stream,
network inet6 stream. Снова, внутри контейнера, в /etc/apparmor.d/local/chrome. И тогда контейнер может запускаться отлично! Контейнер может быть не привилегированным и ему не нужна настройка nesting=1 или ЛЮБЫЕ lxc.apparmor.raw.

Контекст, почему это нужно: "По умолчанию AppArmor запрещает сетевой доступ к ограниченной программе, если профиль явно не разрешает это forums.whonix.org". И профиль по умолчанию, хотя и "неограниченный", явно не разрешает сетевой доступ.

Честно говоря, я не совсем понимаю, как это работает в обычной установке Ubuntu без проблем, но это отлично работает для меня, у меня теперь Chrome на полной скорости в контейнере.
18.04.2025 08:27:00, wave.

Нужна помощь с AppArmor для контейнера LXC.

Tue, 08 Apr 2025 07:07:00 +0300

Нужна помощь с AppArmor для контейнера LXC. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Какая твоя основная цель в этом проекте: изучить AppArmor или просто запустить Chrome без лишнего мусора в ОС? Спрашиваю, потому что у LXC есть определённые ограничения, и если их убрать, то безопасность контейнера значительно снижается. В данном случае ты пытаешься предоставить Chrome сетевые привилегии уровня ядра на ядро хоста. Учитывая, что у браузера и так есть своя песочница, это вряд ли создаст уязвимость нулевого дня, но я всё равно бы не стал делать это в продакшене – особенно, учитывая, что у виртуальных машин почти все те же преимущества (кроме мгновенного изменения размера). Если цель не изучение конфигурации AppArmor, я бы посоветовал использовать виртуальную машину для этого случая. У Ubuntu есть образ cloud init размером менее 600 Мб: https://cloud-images.ubuntu.com/noble/current/ (один из .img файлов). У Debian есть образ cloud init немного меньшего размера — менее 500 Мб: https://cdimage.debian.org/images/cloud/bookworm/latest/ (файл .qcow2, который нужно переименовать в .img, чтобы его можно было использовать). У Alpine есть Generic Cloud Init образ размером менее 200 Мб: https://www.alpinelinux.org/cloud/ (но он запускает только Chromium, а не Chrome, если я правильно помню). С радостью объясню, как их использовать, если это поможет тебе достичь своей цели. Я ломал безопасность AppArmor для целей тестирования раньше, но я не особенно хорошо разбираюсь в этом в целом, и не рекомендовал бы это другим, кроме как для того, чтобы узнать, как "разбить стекло", просто "для развлечения".
08.04.2025 07:07:00, aj@root.

Нужна помощь с AppArmor для контейнера LXC.

Thu, 03 Apr 2025 12:24:00 +0300

Нужна помощь с AppArmor для контейнера LXC. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Привет, я новичок в AppArmor и мне нужна помощь с настройкой для контейнера LXC. У меня установлен Chrome в контейнере ID 105, и AppArmor блокирует его доступ в интернет. Я отредактировал /etc/pve/lxc/105.conf и добавил: lxc.apparmor.raw: network inet dgram, что, кажется, правильно отображается в сгенерированном профиле: #cat /var/lib/lxc/105/apparmor/lxc-105_\<-var-lib-lxc\> ... # Allow remounting things read-only mount options=(ro,remount), network inet dgram, } Но я постоянно получаю ошибку DENIED: #dmesg | grep apparmor ... apparmor=" DENIED " operation="create" class="net" namespace="root//lxc-105_<-var-lib-lxc>" profile="chrome" pid=3728266 comm="Chrome_ChildIOT" family=" inet " sock_type=" dgram " protocol=0 requested="create" denied="create" Что я упускаю? Спасибо.
03.04.2025 12:24:00, loscalino.