Projet

Général

Profil

Tâche #10864

Distribution EOLE - Scénario #11069: Étudier les erreurs apparmor sur ntpd constatées sur EOLE 2.4

apparmor bloque ntp en 2.4

Ajouté par Emmanuel GARETTE il y a environ 9 ans. Mis à jour il y a presque 9 ans.

Statut:
Ne sera pas résolu
Priorité:
Normal
Assigné à:
Daniel Dehennin
Version cible:
Distribution EOLE - Sprint_2015_17-19 - Équipe MENESR
Début:
09/03/2015
Echéance:
% réalisé:

0%

Temps estimé:
4.00 h
Temps passé:
1.50 h
Restant à faire (heures):
0.0

Description

Message dans dmesg :

[   83.407266] type=1400 audit(1425894114.922:43): apparmor="DENIED" operation="file_inherit" profile="/usr/sbin/ntpd" name="/var/lib/dhcp/dhclient.leases" pid=6110 comm="ntpd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0

Demandes liées

Lié à eole-fichier - Evolution #4818: nscd.conf : compatibilité Horus/eSBL Fermé

Historique

#1 Mis à jour par Joël Cuissinat il y a environ 9 ans

  • Tracker changé de Anomalie à Tâche
  • Temps estimé mis à 4.00 h
  • Restant à faire (heures) mis à 4.0

Sur mon AmonEcole, je constate le même genre de messages mais avec ldap :

[173122.526009] audit: type=1400 audit(1427386560.905:73): apparmor="DENIED" operation="open" profile="/usr/sbin/ntpd" name="/etc/ldap/ldap.conf" pid=29083 comm="ntpd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0

#2 Mis à jour par Joël Cuissinat il y a environ 9 ans

  • Tâche parente mis à #11069

#3 Mis à jour par Scrum Master il y a presque 9 ans

  • Statut changé de Nouveau à En cours

#4 Mis à jour par Scrum Master il y a presque 9 ans

  • Description mis à jour (diff)
  • Assigné à mis à Daniel Dehennin

#5 Mis à jour par Daniel Dehennin il y a presque 9 ans

Joël Cuissinat a écrit :

Sur mon AmonEcole, je constate le même genre de messages mais avec ldap :
[...]

Cela est dû à libnss-ldap lorsque nsswitch est configuré avec le support LDAP.

Le fonctionnement de cette bibliothèque implique que chaque processus faisant des résolutions nom d’utilisateur/groupe <=> id fait un appel LDAP.

La bibliothèque libldap tente d’ouvrir le fichier de configuration /etc/ldap/ldap.conf afin de déterminer les paramètres à utiliser pour la requête.

Un moyen de limiter le nombre de requête LDAP serait d’utiliser un processus dédié au requêtes, comme le fond les projects :

Autrement, il faut autoriser tous les processus à lire /etc/ldap/ldap.conf dès que la libnss-ldap est en place.

#6 Mis à jour par Daniel Dehennin il y a presque 9 ans

Il semblerait que le problème avec la configuration LDAP ne soit que temporaire.

La configuration apparmor tient compte des requêtes de ce type :

  • /etc/apparmor.d/usr.sbin.ntpd inclue /etc/apparmor.d/abstractions/nameservice
  • /etc/apparmor.d/abstractions/nameservice inclue /etc/apparmor.d/abstractions/ldapclient
  • /etc/apparmor.d/abstractions/ldapclient définie les règles suivantes :
      # files required by LDAP clients (e.g. nss_ldap/pam_ldap)
  /etc/ldap.conf            r,
  /etc/ldap.secret          r,
  /etc/openldap/*           r,
  /etc/openldap/cacerts/*   r,

Il ne devraient donc pas y avoir de soucis pour le LDAP.

#7 Mis à jour par Daniel Dehennin il y a presque 9 ans

  • Restant à faire (heures) changé de 4.0 à 2.5

#8 Mis à jour par Daniel Dehennin il y a presque 9 ans

  • Restant à faire (heures) changé de 2.5 à 1.0

#9 Mis à jour par Daniel Dehennin il y a presque 9 ans

Je ne reproduit pas le problème avec des serveurs en DHCP.

#10 Mis à jour par Scrum Master il y a presque 9 ans

  • Statut changé de En cours à Ne sera pas résolu
  • Restant à faire (heures) changé de 1.0 à 0.0

Formats disponibles : Atom PDF