AppArmor nega un'operazione di montaggio

Come convincere apparmor a consentire questa operazione?

[28763.284171] type=1400 audit(1344273461.387:192): apparmor="DENIED"
operation="mount" info="failed type match" error=-13 parent=7101
profile="lxc-container-with-nesting" name="/" pid=7112 comm="su"
flags="ro, remount, bind"

Fondamentalmente sto cercando di rimontare il filesystem di root in sola lettura (in uno spazio dei nomi di mount nidificato in un contenitore LXC). L'impostazione è un paio di attacchi bind intorno al luogo che termina con:

mount --rbind / /
mount -o remount,ro /

Ho provato ogni combinazione di:

mount options=(ro, remount, bind) / -> /,

Potrei pensare. L'aggiunta della regola audit mount,mostra tutti gli altri mount che faccio, ma non quelli che operano su /. Il più vicino che posso ottenere è mount -> /,quale IMHO è troppo lento. Anche mount / -> /,nega il remount (mentre è consentita la prima bind mount).

Secondo: http://lwn.net/Articles/281157/

I bind hanno le stesse opzioni dell'originale, quindi puoi solo eseguire il mount di una copia rw di / .. a meno che non rimontassi l'intero / to ro .. cosa che suppongo non voglia fare.

Deve essere in due passaggi.

mount --bind /vital_data /untrusted_container/vital_data

mount -o remount,ro /untrusted_container/vital_data