AppArmor запрещает операцию монтирования

Как мне убедить apparmor разрешить эту операцию?

[28763.284171] type=1400 audit(1344273461.387:192): apparmor="DENIED"
operation="mount" info="failed type match" error=-13 parent=7101
profile="lxc-container-with-nesting" name="/" pid=7112 comm="su"
flags="ro, remount, bind"

В основном я пытаюсь перемонтировать корневую файловую систему только для чтения (в пространстве имен монтирования, вложенном в контейнер LXC). Установка представляет собой несколько привязных креплений вокруг места, заканчивающегося:

mount --rbind / /
mount -o remount,ro /

Я попробовал каждую комбинацию:

mount options=(ro, remount, bind) / -> /,

Я мог думать о. Добавление правила audit mount,показывает все остальные монтирования, которые я делаю, но не те, которые работают на /. Самое близкое, что я могу получить, это то, mount -> /,что ИМХО слишком свободно. Даже mount / -> /,отрицает перемонтирование (пока разрешено первое связывание).

Согласно: http://lwn.net/Articles/281157/

У привязки есть те же параметры, что и у оригинала, так что вы можете связать только монтированную копию / /, если только вы не перемонтируете всю / в ро .., что, я думаю, вы не хотите делать.

Нужно быть в двух шагах.

mount --bind /vital_data /untrusted_container/vital_data

mount -o remount,ro /untrusted_container/vital_data