<div dir="ltr"><div>Hi Guido,</div><div>thanks for your support. <br></div><div><br></div><div>I can confirm that changes to /etc/apparmor.d/libvirt/TEMPLATE.qemu are taking effect. Besides the secret file, also the location of my vm-image-files needs to be configured in the template file. <br></div><div><br></div><div>I added the following to get the VM running:</div><div><br></div><div>  /etc/libvirt/secret/** r,<br>  /var/lib/libvirt/images/** rwk,<br></div><div><br></div><div>Greetings</div><div>Dominik<br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Am Di., 30. Juli 2019 um 11:50 Uhr schrieb Guido Günther <<a href="mailto:agx@sigxcpu.org">agx@sigxcpu.org</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">control: -1 retitle qemu domain with encryption via qemu:commandline denied by apparmor<br>
control: -1 tag wontfix<br>
<br>
Hi Dominik,<br>
On Tue, Jul 30, 2019 at 11:29:49AM +0200, Dominik Reusser wrote:<br>
>   <qemu:commandline><br>
>     <qemu:arg value='--object'/><br>
>     <qemu:arg value='secret,id=sec0,file=/etc/libvirt/secrets/Feigenbaum.secret'/><br>
>     <qemu:arg value='-drive'/><br>
>     <qemu:arg value='driver=qcow2,file.filename=/var/lib/libvirt/images/Feigenbaum.qcow2,encrypt.key-secret=sec0'/><br>
>   </qemu:commandline><br>
<br>
So you're using custom command line arguments. Which is not supported:<br>
<br>
    <a href="https://libvirt.org/drvqemu.html#qemucommand" rel="noreferrer" target="_blank">https://libvirt.org/drvqemu.html#qemucommand</a><br>
<br>
since there's no way for libvirt's apparmor helper to figure out what<br>
you want.<br>
<br>
You should use libvirt's volume encryption:<br>
<br>
    <a href="https://libvirt.org/formatstorageencryption.html#StorageEncryption" rel="noreferrer" target="_blank">https://libvirt.org/formatstorageencryption.html#StorageEncryption</a><br>
<br>
if that fails either we need to fix that but that's something we can<br>
support since we have the information in a structured form and can make<br>
virt-aa-helper know about it.<br>
<br>
If you want to keep using apparmor and your current configuration modify<br>
<br>
    /etc/apparmor.d/libvirt/TEMPLATE.qemu<br>
<br>
to allow access to that file. Something like<br>
<br>
    /etc/libvirt/secrets/** r,<br>
<br>
might already do the trick.<br>
<br>
Note that this will allow all domains to access that file but it might<br>
be better than turning off apparmor completely.<br>
<br>
In case you work something out please add this to the bug since others<br>
might be hitting issues with custom command lines too.<br>
<br>
Cheers,<br>
 -- Guido<br>
</blockquote></div>