<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">On Mon, Aug 13, 2018 at 6:53 PM Jamie Strandboge <<a href="mailto:jamie@canonical.com">jamie@canonical.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Mon, 2018-08-13 at 16:39 +0200, Christian Ehrhardt wrote:<br>
> virt-manager's UI connection will need socket access for<br>
> openGraphicsFD<br>
> to work - otherwise users will face a failed connection error when<br>
> opening the UI view.<br>
> <br>
> Depending on the exact versions of libvirt and qemu involved this<br>
> needs<br>
> either a rule from qemu to libvirt or vice versa.<br>
> <br>
> Signed-off-by: Christian Ehrhardt <<a href="mailto:christian.ehrhardt@canonical.com" target="_blank">christian.ehrhardt@canonical.com</a>><br>
> ---<br>
>  examples/apparmor/libvirt-qemu      | 3 +++<br>
>  examples/apparmor/usr.sbin.libvirtd | 5 +++++<br>
>  2 files changed, 8 insertions(+)<br>
> <br>
> diff --git a/examples/apparmor/libvirt-qemu<br>
> b/examples/apparmor/libvirt-qemu<br>
> index df5f512487..5caf14e418 100644<br>
> --- a/examples/apparmor/libvirt-qemu<br>
> +++ b/examples/apparmor/libvirt-qemu<br>
> @@ -188,6 +188,9 @@<br>
>    @{PROC}/device-tree/** r,<br>
>    /sys/firmware/devicetree/** r,<br>
>  <br>
> +  # allow connect with openGraphicsFD to work<br>
> +  unix (send, receive) type=stream addr=none<br>
> peer=(label=/usr/sbin/libvirtd),<br>
<br>
+1 to apply<br>
<br>
> diff --git a/examples/apparmor/usr.sbin.libvirtd<br>
> b/examples/apparmor/usr.sbin.libvirtd<br>
> index 3102cab382..dd37866c2a 100644<br>
> --- a/examples/apparmor/usr.sbin.libvirtd<br>
> +++ b/examples/apparmor/usr.sbin.libvirtd<br>
> @@ -69,6 +69,11 @@<br>
>    unix (send, receive) type=stream addr=none<br>
> peer=(label=/usr/sbin/libvirtd//qemu_bridge_helper),<br>
>    signal (send) set=("term")<br>
> peer=/usr/sbin/libvirtd//qemu_bridge_helper,<br>
>  <br>
> +  # allow connect with openGraphicsFD, direction reversed in newer<br>
> versions<br>
> +  unix (send, receive) type=stream addr=none peer=(label=libvirt-[0-<br>
> 9a-f]*-[0-9a-f]*-[0-9a-f]*-[0-9a-f]*-[0-9a-f]*),<br>
> +  # unconfined also required if guests run without security module<br>
> +  unix (send, receive) type=stream addr=none<br>
> peer=(label=unconfined),<br>
<br>
Makes sense. This libvirtd policy is meant to be super restrictive, so<br>
+1 to apply.<br></blockquote><div> </div><div>Thanks, added your Ack in the v2 submission due to rewriting the latter patches of this series.</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
-- <br>
Jamie Strandboge             | <a href="http://www.canonical.com" rel="noreferrer" target="_blank">http://www.canonical.com</a></blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><span style="color:rgb(136,136,136);font-size:12.8px">Christian Ehrhardt</span><div style="color:rgb(136,136,136);font-size:12.8px">Software Engineer, Ubuntu Server</div><div style="color:rgb(136,136,136);font-size:12.8px">Canonical Ltd</div></div></div></div></div></div>