<div dir="ltr">Ok, with acks of last year and new ones in and no other feedback nor any Freeze atm I'm pushing these changes any minute.<div>The qemu-smb related one will be dropped, the others pushed with the latest cleanups as discussed in the per-patch threads.<br><div>Thanks everybody for your participation!</div></div></div><br><div class="gmail_quote"><div dir="ltr">On Tue, Aug 14, 2018 at 8:18 AM Christian Ehrhardt <<a href="mailto:christian.ehrhardt@canonical.com">christian.ehrhardt@canonical.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
this is a summary of things I had to touch recently for libvirt 4.6.<br>
The first two patches are re-submissions and modifications of last<br>
year which were never totally challenged, but also not pushed.<br>
<br>
The first was lost in a discussion about virt-aa-helper, whicih eventually<br>
turned out to be clear that it could not help in that case.<br>
  - <a href="https://www.redhat.com/archives/libvir-list/2017-February/msg01598.html" rel="noreferrer" target="_blank">https://www.redhat.com/archives/libvir-list/2017-February/msg01598.html</a><br>
  - <a href="https://www.redhat.com/archives/libvir-list/2017-March/msg00052.html" rel="noreferrer" target="_blank">https://www.redhat.com/archives/libvir-list/2017-March/msg00052.html</a><br>
<br>
The second even got a few Acks, but neither made it into upstream yet.<br>
Parts of it where introduced already, in<br>
  7edcbd02 apparmor: allow libvirt to send term signal to unconfined<br>
  b482925c apparmor: support ptrace checks<br>
But there are still signals blocked with those rules, so I resubmit the<br>
remaining bit. Also I added the Acks to the resubmission.<br>
<br>
The third&fourth change came in recently via various bug reports which I<br>
finally wanted to adress - e.g. for ceph lib or smb. If we later on spot<br>
more cases that have predictable safe paths under /tmp we can add those.<br>
<br>
Finally the fifth change was triggered by me testing libvirt 4.6 in<br>
various conditions. Some of them were in containers, and the new libvirt<br>
behavior to carry more mount points into the qemu namespace triggers the<br>
need to rewrite the existing mount-moving rules that we added last year.<br>
<br>
*Updates in V2*<br>
- added Acks to path #1<br>
- split former patch #3 into #3/#4 to discuss /tmp access and qemu-smd<br>
  individually<br>
- rewrote reasoning and concerns as well as TODOs to improve later in<br>
  regard to the /tmp related commits #3/#4<br>
- Updated the rule since the trailing {,/} is not needed after **<br>
<br>
Christian Ehrhardt (5):<br>
  apparmor: allow openGraphicsFD for virt manager >1.4<br>
  apparmor: add mediation rules for unconfined guests<br>
  apparmor: allow expected /tmp access patterns<br>
  apparmor: allow qemu-smb access in /tmp<br>
  apparmor: allow to preserve /dev mountpoints into qemu namespaces<br>
<br>
 examples/apparmor/libvirt-qemu      | 20 ++++++++++++++++++++<br>
 examples/apparmor/usr.sbin.libvirtd | 24 +++++++++++++-----------<br>
 2 files changed, 33 insertions(+), 11 deletions(-)<br>
<br>
-- <br>
2.17.1<br>
<br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><span style="color:rgb(136,136,136);font-size:12.8px">Christian Ehrhardt</span><div style="color:rgb(136,136,136);font-size:12.8px">Software Engineer, Ubuntu Server</div><div style="color:rgb(136,136,136);font-size:12.8px">Canonical Ltd</div></div></div></div></div>