Projet

Général

Profil

Tâche #13943

Scénario #13769: Étudier l'impact de la correction appliquée pour contourner les problèmes de profil apparmor pour lxc

Étude du problème et de la solution apportée

Ajouté par Joël Cuissinat il y a plus de 8 ans. Mis à jour il y a plus de 8 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Daniel Dehennin
Version cible:
Distribution EOLE - Sprint 2015 45-47 - Équipe MENESR
Début:
05/11/2015
Echéance:
% réalisé:

100%

Temps estimé:
4.00 h
Temps passé:
0.75 h
Restant à faire (heures):
0.0

Description

Joël Cuissinat a écrit :

Le contournement appliqué dans #13755 diminue forcément la sécurité du serveur.

Il faudrait vérifier que cela reste acceptable et si possible trouver une configuration apparmor qui fonctionne.

On devrait également ouvrir un signalement chez Ubuntu et être très vigilent car ce dysfonctionnement pourrait potentiellement arriver sur 2.5.

_Visibement ça a déjà été signalé [1] [2]

Historique

#1 Mis à jour par Scrum Master il y a plus de 8 ans

  • Statut changé de Nouveau à En cours

#2 Mis à jour par Scrum Master il y a plus de 8 ans

  • Description mis à jour (diff)
  • Assigné à mis à Daniel Dehennin

#3 Mis à jour par Daniel Dehennin il y a plus de 8 ans

  • Description mis à jour (diff)

#4 Mis à jour par Daniel Dehennin il y a plus de 8 ans

  • % réalisé changé de 0 à 70
  • Restant à faire (heures) changé de 4.0 à 1.0

Le signalement Ubuntu 1504781 est corrigé et déployé.

Le paquet lxc - 0.7.5-3ubuntu70 fonctionne correctement sur etb3.amonecole-2.4.2-instance-default avec le profil apparmor réactivé :

  • Version du paquet
    root@amonecole:~# apt-cache policy lxc
lxc:
  Installé : 0.7.5-3ubuntu70
  Candidat : 0.7.5-3ubuntu70
 Table de version :
 *** 0.7.5-3ubuntu70 0
        500 http://test-eole.ac-dijon.fr/ubuntu/ precise-updates/universe amd64 Packages
        100 /var/lib/dpkg/status
     0.7.5-3ubuntu52 0
        500 http://test-eole.ac-dijon.fr/ubuntu/ precise/universe amd64 Packages
  • Profil actif
    root@amonecole:~# service apparmor status
apparmor module is loaded.
8 profiles are loaded.
8 profiles are in enforce mode.
   /sbin/dhclient
   /usr/bin/freshclam
   /usr/bin/lxc-start
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/connman/scripts/dhclient-script
   /usr/sbin/ntpd
   /usr/sbin/tcpdump
   lxc-container-default
0 profiles are in complain mode.
5 processes have profiles defined.
5 processes are in enforce mode.
   /usr/bin/lxc-start (1501) 
   /usr/bin/lxc-start (1857) 
   /usr/bin/lxc-start (2154) 
   /usr/bin/lxc-start (2497) 
   /usr/sbin/ntpd (4165) 
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
  • Conteneurs fonctionnels
    root@amonecole:~# lxc-status 
conteneur reseau accessible
conteneur partage accessible
conteneur bdd accessible
conteneur internet accessible

#5 Mis à jour par Scrum Master il y a plus de 8 ans

  • Statut changé de En cours à Fermé
  • Restant à faire (heures) changé de 1.0 à 0.0

#6 Mis à jour par Daniel Dehennin il y a plus de 8 ans

  • % réalisé changé de 70 à 100

Formats disponibles : Atom PDF