<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Aug 3, 2020 at 5:13 PM Jamie Strandboge <<a href="mailto:jamie@canonical.com">jamie@canonical.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Mon, 03 Aug 2020, Christian Ehrhardt wrote:<br>
<br>
> From: Serge Hallyn <<a href="mailto:serge.hallyn@ubuntu.com" target="_blank">serge.hallyn@ubuntu.com</a>><br>
> <br>
> Chardevs/sockets configured for openvswitch-dpdk use cases<br>
> might be probed by virt-aa-helper. Allow that access to enable<br>
> virt-aa-helper rendering per-guest rules for the actual qemu<br>
> guest accessing these sockets eventually.<br>
> <br>
> Signed-off-by: Christian Ehrhardt <<a href="mailto:christian.ehrhardt@canonical.com" target="_blank">christian.ehrhardt@canonical.com</a>><br>
> Signed-off-by: Stefan Bader <<a href="mailto:stefan.bader@canonical.com" target="_blank">stefan.bader@canonical.com</a>><br>
> Signed-off-by: Serge Hallyn <<a href="mailto:serge.hallyn@ubuntu.com" target="_blank">serge.hallyn@ubuntu.com</a>><br>
> ---<br>
>  src/security/apparmor/<a href="http://usr.lib.libvirt.virt-aa-helper.in" rel="noreferrer" target="_blank">usr.lib.libvirt.virt-aa-helper.in</a> | 3 +++<br>
>  1 file changed, 3 insertions(+)<br>
> <br>
> diff --git a/src/security/apparmor/<a href="http://usr.lib.libvirt.virt-aa-helper.in" rel="noreferrer" target="_blank">usr.lib.libvirt.virt-aa-helper.in</a> b/src/security/apparmor/<a href="http://usr.lib.libvirt.virt-aa-helper.in" rel="noreferrer" target="_blank">usr.lib.libvirt.virt-aa-helper.in</a><br>
> index 3f204799a6..877cb04b1e 100644<br>
> --- a/src/security/apparmor/<a href="http://usr.lib.libvirt.virt-aa-helper.in" rel="noreferrer" target="_blank">usr.lib.libvirt.virt-aa-helper.in</a><br>
> +++ b/src/security/apparmor/<a href="http://usr.lib.libvirt.virt-aa-helper.in" rel="noreferrer" target="_blank">usr.lib.libvirt.virt-aa-helper.in</a><br>
> @@ -46,6 +46,9 @@ profile virt-aa-helper @libexecdir@/virt-aa-helper {<br>
>    @sysconfdir@/apparmor.d/libvirt/* r,<br>
>    @sysconfdir@/apparmor.d/libvirt/libvirt-[0-9a-f]*-[0-9a-f]*-[0-9a-f]*-[0-9a-f]*-[0-9a-f]* rw,<br>
>  <br>
> +  # for openvswitch sockets<br>
> +  /{,var/}run/openvswitch/** rw,<br>
<br>
A bit unfortunate and unexpected. What kind of probing does<br>
virt-aa-helper do on these?<br></blockquote><div><br></div><div>I'm so glad we do this exercise and you have the "investigative hat on" to challenge the few bits of the series that seem odd.</div><div>I have read through virt-aa-helper again with a focus on this and at least today's openvswitch-dpdk+libvirt should not need this anymore.</div><div><br></div><div>It seems this was a wild guess many years ago and added for bug 1513367 but eventually (or just noadays) is no longer needed.</div><div><br></div><div>I have set up a 20.04 based openvswitch-dpdk system and dropped the rule.</div><div>Once with vhostuserclient and once on an older system with the older vhostuser type connection.</div><div><br></div><div>Things are still working, so I'm removing this rule from this series as well as from the Ubuntu builds.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
-- <br>
Jamie Strandboge             | <a href="http://www.canonical.com" rel="noreferrer" target="_blank">http://www.canonical.com</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature">Christian Ehrhardt<br>Staff Engineer, Ubuntu Server<br>Canonical Ltd</div></div>