Project

General

Profile

Tâche #10864

Distribution EOLE - Scénario #11069: Étudier les erreurs apparmor sur ntpd constatées sur EOLE 2.4

apparmor bloque ntp en 2.4

Added by Emmanuel GARETTE over 6 years ago. Updated over 6 years ago.

Status:
Ne sera pas résolu
Priority:
Normal
Assigned To:
Start date:
03/09/2015
Due date:
% Done:

0%

Estimated time:
4.00 h
Spent time:
Remaining (hours):
0.0

Description

Message dans dmesg :

[   83.407266] type=1400 audit(1425894114.922:43): apparmor="DENIED" operation="file_inherit" profile="/usr/sbin/ntpd" name="/var/lib/dhcp/dhclient.leases" pid=6110 comm="ntpd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0

Related issues

Related to eole-fichier - Evolution #4818: nscd.conf : compatibilité Horus/eSBL Fermé

History

#1 Updated by Joël Cuissinat over 6 years ago

  • Tracker changed from Anomalie to Tâche
  • Estimated time set to 4.00 h
  • Remaining (hours) set to 4.0

Sur mon AmonEcole, je constate le même genre de messages mais avec ldap :

[173122.526009] audit: type=1400 audit(1427386560.905:73): apparmor="DENIED" operation="open" profile="/usr/sbin/ntpd" name="/etc/ldap/ldap.conf" pid=29083 comm="ntpd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0

#2 Updated by Joël Cuissinat over 6 years ago

  • Parent task set to #11069

#3 Updated by Scrum Master over 6 years ago

  • Status changed from Nouveau to En cours

#4 Updated by Scrum Master over 6 years ago

  • Description updated (diff)
  • Assigned To set to Daniel Dehennin

#5 Updated by Daniel Dehennin over 6 years ago

Joël Cuissinat a écrit :

Sur mon AmonEcole, je constate le même genre de messages mais avec ldap :
[...]

Cela est dû à libnss-ldap lorsque nsswitch est configuré avec le support LDAP.

Le fonctionnement de cette bibliothèque implique que chaque processus faisant des résolutions nom d’utilisateur/groupe <=> id fait un appel LDAP.

La bibliothèque libldap tente d’ouvrir le fichier de configuration /etc/ldap/ldap.conf afin de déterminer les paramètres à utiliser pour la requête.

Un moyen de limiter le nombre de requête LDAP serait d’utiliser un processus dédié au requêtes, comme le fond les projects :

Autrement, il faut autoriser tous les processus à lire /etc/ldap/ldap.conf dès que la libnss-ldap est en place.

#6 Updated by Daniel Dehennin over 6 years ago

Il semblerait que le problème avec la configuration LDAP ne soit que temporaire.

La configuration apparmor tient compte des requêtes de ce type :

  • /etc/apparmor.d/usr.sbin.ntpd inclue /etc/apparmor.d/abstractions/nameservice
  • /etc/apparmor.d/abstractions/nameservice inclue /etc/apparmor.d/abstractions/ldapclient
  • /etc/apparmor.d/abstractions/ldapclient définie les règles suivantes :
      # files required by LDAP clients (e.g. nss_ldap/pam_ldap)
      /etc/ldap.conf            r,
      /etc/ldap.secret          r,
      /etc/openldap/*           r,
      /etc/openldap/cacerts/*   r,
    

Il ne devraient donc pas y avoir de soucis pour le LDAP.

#7 Updated by Daniel Dehennin over 6 years ago

  • Remaining (hours) changed from 4.0 to 2.5

#8 Updated by Daniel Dehennin over 6 years ago

  • Remaining (hours) changed from 2.5 to 1.0

#9 Updated by Daniel Dehennin over 6 years ago

Je ne reproduit pas le problème avec des serveurs en DHCP.

#10 Updated by Scrum Master over 6 years ago

  • Status changed from En cours to Ne sera pas résolu
  • Remaining (hours) changed from 1.0 to 0.0

Also available in: Atom PDF