Tâche #10864
Distribution EOLE - Scénario #11069: Étudier les erreurs apparmor sur ntpd constatées sur EOLE 2.4
apparmor bloque ntp en 2.4
Description
Message dans dmesg :
[ 83.407266] type=1400 audit(1425894114.922:43): apparmor="DENIED" operation="file_inherit" profile="/usr/sbin/ntpd" name="/var/lib/dhcp/dhclient.leases" pid=6110 comm="ntpd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
Demandes liées
Historique
#1 Mis à jour par Joël Cuissinat il y a environ 9 ans
- Tracker changé de Anomalie à Tâche
- Temps estimé mis à 4.00 h
- Restant à faire (heures) mis à 4.0
Sur mon AmonEcole, je constate le même genre de messages mais avec ldap :
[173122.526009] audit: type=1400 audit(1427386560.905:73): apparmor="DENIED" operation="open" profile="/usr/sbin/ntpd" name="/etc/ldap/ldap.conf" pid=29083 comm="ntpd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
#2 Mis à jour par Joël Cuissinat il y a environ 9 ans
- Tâche parente mis à #11069
#3 Mis à jour par Scrum Master il y a environ 9 ans
- Statut changé de Nouveau à En cours
#4 Mis à jour par Scrum Master il y a environ 9 ans
- Description mis à jour (diff)
- Assigné à mis à Daniel Dehennin
#5 Mis à jour par Daniel Dehennin il y a environ 9 ans
Joël Cuissinat a écrit :
Sur mon AmonEcole, je constate le même genre de messages mais avec ldap :
[...]
Cela est dû à libnss-ldap
lorsque nsswitch est configuré avec le support LDAP.
Le fonctionnement de cette bibliothèque implique que chaque processus faisant des résolutions nom d’utilisateur/groupe <=> id
fait un appel LDAP.
La bibliothèque libldap
tente d’ouvrir le fichier de configuration /etc/ldap/ldap.conf
afin de déterminer les paramètres à utiliser pour la requête.
Un moyen de limiter le nombre de requête LDAP serait d’utiliser un processus dédié au requêtes, comme le fond les projects :
Autrement, il faut autoriser tous les processus à lire /etc/ldap/ldap.conf
dès que la libnss-ldap
est en place.
#6 Mis à jour par Daniel Dehennin il y a environ 9 ans
Il semblerait que le problème avec la configuration LDAP ne soit que temporaire.
La configuration apparmor tient compte des requêtes de ce type :
/etc/apparmor.d/usr.sbin.ntpd
inclue/etc/apparmor.d/abstractions/nameservice
/etc/apparmor.d/abstractions/nameservice
inclue/etc/apparmor.d/abstractions/ldapclient
/etc/apparmor.d/abstractions/ldapclient
définie les règles suivantes :# files required by LDAP clients (e.g. nss_ldap/pam_ldap) /etc/ldap.conf r, /etc/ldap.secret r, /etc/openldap/* r, /etc/openldap/cacerts/* r,
Il ne devraient donc pas y avoir de soucis pour le LDAP.
#7 Mis à jour par Daniel Dehennin il y a environ 9 ans
- Restant à faire (heures) changé de 4.0 à 2.5
#8 Mis à jour par Daniel Dehennin il y a environ 9 ans
- Restant à faire (heures) changé de 2.5 à 1.0
#9 Mis à jour par Daniel Dehennin il y a environ 9 ans
Je ne reproduit pas le problème avec des serveurs en DHCP.
#10 Mis à jour par Scrum Master il y a environ 9 ans
- Statut changé de En cours à Ne sera pas résolu
- Restant à faire (heures) changé de 1.0 à 0.0