[linux-support] ubuntu apparmor und kvm/qemu
Markus Wernig
wernigm at lugbe.ch
Sat Feb 10 14:33:56 CET 2018
Hallo allerseits
Auf Ubuntu 16.04.3 (4.4.0-112-generic x86_64) habe ich ein eigenartiges
Problem beim Anlegen neuer VMs: Aus irgendeinem Grund "vergisst" libvirt
beim Erstellen des apparmor-Profils für die neue VM den Pfad zum
ISO-Image mit dem Installationsmedium, und apparmor blockiert beim
Starten der VM dann den Zugriff:
dom.xml:
...
<disk type='volume' device='cdrom'>
<driver name='qemu' type='raw'/>
<source pool='ISO-Images' volume='debian-9.3.0-amd64-netinst.iso'/>
<target dev='sdc' bus='sata'/>
<readonly/>
<boot order='2'/>
<address type='drive' controller='0' bus='0' target='0' unit='2'/>
</disk>
...
# ls -latr /var/lib/libvirt/images/ISO/debian-9.3.0-amd64-netinst.iso
-rw-r--r-- 1 libvirt-qemu kvm 304087040 Dec 9 14:04
/var/lib/libvirt/images/ISO/debian-9.3.0-amd64-netinst.iso
# virsh start dom
... internal error: process exited while connecting to monitor:
2018-02-10T12:34:58.887067Z qemu-system-
x86_64: -drive
file=/var/lib/libvirt/images/ISO/debian-9.3.0-amd64-netinst.iso,format=raw,if=none,media=cdrom,id=drive-sata0-0-2,readonly=on:
Could not open
'/var/lib/libvirt/images/ISO/debian-9.3.0-amd64-netinst.iso': Permission
denied
Dazu passend im syslog:
kernel: [ 2695.573145] audit: type=1400 audit(1518266098.885:54):
apparmor="DENIED" operation="open" profile="libvirt
-0cc1f2b4-1f84-497f-9a68-9cd7702cc43d"
name="/var/lib/libvirt/images/ISO/debian-9.3.0-amd64-netinst.iso"
pid=10974 comm="qemu-system-x86" requested_mask="r" denied_mask="r"
fsuid=104 ouid=104
Das hatte bisher (bis zum letzten Upgrade) immer funktioniert.
Da libvirt noch dazu bei jedem versuchten Neustart auch noch ein neues
apparmor-Profil anlegt, kann man das nicht mal gezielt disablen.
Dzt. hilft also nur: Domain definieren und starten ohne Bootmedium,
apparmor-Profil merken, Domain stoppen, aa-complain
/etc/apparmor.d/libvirt/[profil uuid]; Domain editieren und ISO
hinzufügen, Domain starten.
Aber das kann's ja wohl nicht sein!
Hat jemand schon ein ähnliches Problem gehabt?
Thx /markus
--
Markus Wernig 🐧
Präsident Linux User Group Bern
PGP: D9203D2A4AD9FC3333DEEF9DF7ACC6208E82E4DC
---------------------------------------------
Linux User Group Bern - https://lugbe.ch
---------------------------------------------
More information about the Linux-support
mailing list