apparmor

Debian Buster: “tcpdump -w file” works only in some directories

烂漫一生 提交于 2021-01-29 10:00:39
问题 The following command (called as user root with and without -i eno ) tcpdump -w a.dump -i eno1 portrange 27900-27901 works only in some directories, eg. /tmp and /root . But it works not in other directories, for example not in /temp created with: mkdir /temp chown root.root /temp chmod 700 /temp Stopped apparmor , but it doesn't help. Any ideas to enable other directories? 回答1: Problem solved. It was AppArmor. I learned the stopping the service does not stop the protection. In detail, there

cups 报错一例: Unable to open listen socket for address [v1.::1]:631

牧云@^-^@ 提交于 2020-11-26 11:28:01
最近遇到cups 无法连接成功,查/var/log/cups下的error_log,有看到如下出错信息: Unable to open listen socket for address [v1.::1]:631 - Permission denied. 经反复查,是由于apparmor这个类似centos的selinux安全限制引起。卸载,或用aa-complaint /etc/apparmor.d/下的cups关闭即可。 来源: oschina 链接: https://my.oschina.net/u/2503743/blog/4748853

把mysql的数据文件目录/var/lib/mysql,移到其他地方。

谁都会走 提交于 2020-10-02 22:00:12
原因。 我们的数据库文件占用磁盘空间太大了,磁盘不够用,就移到一个新的磁盘。 移动方法。 我数准备把数据目录 /var/lib/mysql 移到 /data/var/lib/ 。 #停止mysql sudo systemctl stop mysql.service #把数据目录`/var/lib/mysql`,剪切到`/data/var/lib/` mv /var/lib/mysql /data/var/lib/ #在`/var/lib/`目录创建mysql文件夹 mkdir mysql #把`/var/lib/mysql`文件夹的所属组、所有人改一下。 sudo chown -R mysql:mysql /var/lib/mysql #把`/var/lib/mysql`目录绑定到新的数据目录 `data/var/lib/mysql/` mount --bind /data/var/lib/mysql/ /var/lib/mysql #重启mysql sudo systemctl start mysql.service 注意事项。 千万不能通过 创建链接 的方式把 /var/lib/mysql 关联到新的数据目录。这样做会导致数据文件有权限问题,mysql重启不了。 关于这一点的说明参考: https://dba.stackexchange.com/questions/106085

【容器安全】Docker容器安全性分析

旧街凉风 提交于 2020-07-27 00:05:59
Docker是目前最具代表性的容器技术之一,对云计算及虚拟化技术产生了颠覆性的影响。本文对Docker容器在应用中可能面临的安全问题和风险进行了研究,并将Docker容器应用环境中的安全机制与相关解决方案分为容器虚拟化安全、容器安全管理、容器网络安全三部分进行分析。 一、从虚拟化安全到容器安全 1、传统虚拟化技术 虚拟化技术是实现硬件基础设施资源的充分利用、合理分配和有效调度的重要技术手段。例如,在基于OpenStack的典型IaaS服务中,云服务提供商可通过搭建设备集群建立资源池,并将服务器、存储和网络等底层资源进行弹性虚拟化提供给租户。 传统虚拟化技术以虚拟机为管理单元,各虚拟机拥有独立的操作系统内核,不共用宿主机的软件系统资源,因此具有良好的隔离性,适用于云计算环境中的多租户场景。 2、容器技术 容器技术可以看作一种轻量级的虚拟化方式,将应用与必要的执行环境打包成容器镜像,使得应用程序可以直接在宿主机(物理机或虚拟机)中相对独立地运行。容器技术在操作系统层进行虚拟化,可在宿主机内核上运行多个虚拟化环境。相比于传统的应用测试与部署,容器的部署无需预先考虑应用的运行环境兼容性问题;相比于传统虚拟机,容器无需独立的操作系统内核就可在宿主机中运行,实现了更高的运行效率与资源利用率。 Docker是目前最具代表性的容器平台之一,它模糊了传统的IaaS和PaaS的边界,具有持续部署与测试

【容器安全】Docker容器安全性分析

时光怂恿深爱的人放手 提交于 2020-07-26 20:04:44
Docker是目前最具代表性的容器技术之一,对云计算及虚拟化技术产生了颠覆性的影响。本文对Docker容器在应用中可能面临的安全问题和风险进行了研究,并将Docker容器应用环境中的安全机制与相关解决方案分为容器虚拟化安全、容器安全管理、容器网络安全三部分进行分析。 一、从虚拟化安全到容器安全 1、传统虚拟化技术 虚拟化技术是实现硬件基础设施资源的充分利用、合理分配和有效调度的重要技术手段。例如,在基于OpenStack的典型IaaS服务中,云服务提供商可通过搭建设备集群建立资源池,并将服务器、存储和网络等底层资源进行弹性虚拟化提供给租户。 传统虚拟化技术以虚拟机为管理单元,各虚拟机拥有独立的操作系统内核,不共用宿主机的软件系统资源,因此具有良好的隔离性,适用于云计算环境中的多租户场景。 2、容器技术 容器技术可以看作一种轻量级的虚拟化方式,将应用与必要的执行环境打包成容器镜像,使得应用程序可以直接在宿主机(物理机或虚拟机)中相对独立地运行。容器技术在操作系统层进行虚拟化,可在宿主机内核上运行多个虚拟化环境。相比于传统的应用测试与部署,容器的部署无需预先考虑应用的运行环境兼容性问题;相比于传统虚拟机,容器无需独立的操作系统内核就可在宿主机中运行,实现了更高的运行效率与资源利用率。 Docker是目前最具代表性的容器平台之一,它模糊了传统的IaaS和PaaS的边界,具有持续部署与测试

Various Docker container paths have started failing with permission errors on Linux Mint

我与影子孤独终老i 提交于 2020-06-13 09:37:08
问题 I am developing a Node multi-container application on a Linux Mint Docker host, with Docker and Docker Compose installed via Snapcraft. There are four containers, and two of them have bind-mount volumes against project folders on the host. This is all pretty standard stuff. A couple of days ago, some of the containers started to fail with permission errors. Here is my Docker Compose command, and the logs from the failing containers: $ docker-compose -f docker-compose.yml -f docker-compose-dev

Various Docker container paths have started failing with permission errors on Linux Mint

孤人 提交于 2020-06-13 09:36:03
问题 I am developing a Node multi-container application on a Linux Mint Docker host, with Docker and Docker Compose installed via Snapcraft. There are four containers, and two of them have bind-mount volumes against project folders on the host. This is all pretty standard stuff. A couple of days ago, some of the containers started to fail with permission errors. Here is my Docker Compose command, and the logs from the failing containers: $ docker-compose -f docker-compose.yml -f docker-compose-dev

Disable AppArmor for Docker for ptrace_scope

爱⌒轻易说出口 提交于 2020-04-13 10:26:15
问题 Is it possible to disable AppArmor for a particular Docker container? I want to make ptrace accessible so I can attach gdb to a running process but run into the following issue when I want to change the setting: root@fbf728150308:/gopath# echo 0 > /proc/sys/kernel/yama/ptrace_scope bash: /proc/sys/kernel/yama/ptrace_scope: Read-only file system 回答1: AppArmor can be disabled either by running unconfined, or as a privileged container: --security-opt apparmor=unconfined (or apparmor:unconfined

Disable AppArmor for Docker for ptrace_scope

旧城冷巷雨未停 提交于 2020-04-13 10:23:31
问题 Is it possible to disable AppArmor for a particular Docker container? I want to make ptrace accessible so I can attach gdb to a running process but run into the following issue when I want to change the setting: root@fbf728150308:/gopath# echo 0 > /proc/sys/kernel/yama/ptrace_scope bash: /proc/sys/kernel/yama/ptrace_scope: Read-only file system 回答1: AppArmor can be disabled either by running unconfined, or as a privileged container: --security-opt apparmor=unconfined (or apparmor:unconfined

Disable AppArmor for Docker for ptrace_scope

安稳与你 提交于 2020-04-13 10:22:07
问题 Is it possible to disable AppArmor for a particular Docker container? I want to make ptrace accessible so I can attach gdb to a running process but run into the following issue when I want to change the setting: root@fbf728150308:/gopath# echo 0 > /proc/sys/kernel/yama/ptrace_scope bash: /proc/sys/kernel/yama/ptrace_scope: Read-only file system 回答1: AppArmor can be disabled either by running unconfined, or as a privileged container: --security-opt apparmor=unconfined (or apparmor:unconfined
订阅 apparmor