Dovecot lxc apparmor 被拒绝（Buster）

您是否尝试过使用不受限制的 AppArmor 值？

lxc.apparmor.profile: unconfined

将其设置到您的 /etc/pve/lxc/CTID.conf 中

遗憾的是，如果没有通过主机上的 AppArmor 授予必要的权限，则更新服务单元以避免 PrivateTmp 在 LXC 中不起作用。

在探索了所有选项之后，似乎不再有办法仅通过容器内部来实现这一点。

为了使其正常工作，我删除了容器中的所有编辑（因此摆脱了 PrivateTmp 配置）并转而修改 AppArmor 策略，如下所示：

1. 在主机上，创建一个新的 AppArmor 策略/etc/apparmor.d/lxc/lxc-dovecot并填充以下内容：

   # Do not load this file. Rather, load /etc/apparmor.d/lxc-containers, which
   # will source all profiles under /etc/apparmor.d/lxc
   profile lxc-container-dovecot flags=(attach_disconnected,mediate_deleted) {
     #include <abstractions/lxc/container-base>
     #include <abstractions/lxc/start-container>
     deny mount fstype=devpts,
     mount fstype=cgroup -> /sys/fs/cgroup/**,
     mount fstype=cgroup2 -> /sys/fs/cgroup/**,
     mount options=(rw,bind),
     mount options=(rw,rbind),
     mount options=(rw,rshared),
     mount options=(ro,nosuid,noexec,remount,bind,strictatime),
   }
   

2. 使用以下方法重新加载 AppArmor

   $ systemctl restart apparmor.service
   

3. 通过将以下行添加到 LXC 容器配置来设置容器以使用新的配置文件，通常位于/var/lib/lxc/$container/config：

   # Add or edit the following line to set the apparmor profile used
   lxc.apparmor.profile = lxc-container-dovecot
   

4. 重新启动容器：

   $ lxc-stop -n $container && sleep 1 && lxc-start -d -n $container