[linux-support] ubuntu apparmor und kvm/qemu

Markus Wernig wernigm at lugbe.ch
Sat Feb 10 14:33:56 CET 2018 

Hallo allerseits

Auf Ubuntu 16.04.3 (4.4.0-112-generic x86_64) habe ich ein eigenartiges
Problem beim Anlegen neuer VMs: Aus irgendeinem Grund "vergisst" libvirt
beim Erstellen des apparmor-Profils für die neue VM den Pfad zum
ISO-Image mit dem Installationsmedium, und apparmor blockiert beim
Starten der VM dann den Zugriff:

dom.xml:
...
    <disk type='volume' device='cdrom'>
      <driver name='qemu' type='raw'/>
      <source pool='ISO-Images' volume='debian-9.3.0-amd64-netinst.iso'/>
      <target dev='sdc' bus='sata'/>
      <readonly/>
      <boot order='2'/>
      <address type='drive' controller='0' bus='0' target='0' unit='2'/>
    </disk>
...

# ls -latr /var/lib/libvirt/images/ISO/debian-9.3.0-amd64-netinst.iso
-rw-r--r-- 1 libvirt-qemu kvm 304087040 Dec  9 14:04
/var/lib/libvirt/images/ISO/debian-9.3.0-amd64-netinst.iso

# virsh start dom
... internal error: process exited while connecting to monitor:
2018-02-10T12:34:58.887067Z qemu-system-
x86_64: -drive
file=/var/lib/libvirt/images/ISO/debian-9.3.0-amd64-netinst.iso,format=raw,if=none,media=cdrom,id=drive-sata0-0-2,readonly=on:
Could not open
'/var/lib/libvirt/images/ISO/debian-9.3.0-amd64-netinst.iso': Permission
denied

Dazu passend im syslog:
kernel: [ 2695.573145] audit: type=1400 audit(1518266098.885:54):
apparmor="DENIED" operation="open" profile="libvirt
-0cc1f2b4-1f84-497f-9a68-9cd7702cc43d"
name="/var/lib/libvirt/images/ISO/debian-9.3.0-amd64-netinst.iso"
pid=10974 comm="qemu-system-x86" requested_mask="r" denied_mask="r"
fsuid=104 ouid=104


Das hatte bisher (bis zum letzten Upgrade) immer funktioniert.

Da libvirt noch dazu bei jedem versuchten Neustart auch noch ein neues
apparmor-Profil anlegt, kann man das nicht mal gezielt disablen.

Dzt. hilft also nur: Domain definieren und starten ohne Bootmedium,
apparmor-Profil merken, Domain stoppen, aa-complain
/etc/apparmor.d/libvirt/[profil uuid]; Domain editieren und ISO
hinzufügen, Domain starten.

Aber das kann's ja wohl nicht sein!

Hat jemand schon ein ähnliches Problem gehabt?

Thx /markus

-- 
Markus Wernig                              🐧
Präsident Linux User Group Bern
PGP: D9203D2A4AD9FC3333DEEF9DF7ACC6208E82E4DC
---------------------------------------------
Linux User Group Bern    -   https://lugbe.ch
---------------------------------------------

More information about the Linux-support mailing list