Project

General

Profile

Tâche #13943

Scénario #13769: Étudier l'impact de la correction appliquée pour contourner les problèmes de profil apparmor pour lxc

Étude du problème et de la solution apportée

Added by Joël Cuissinat almost 8 years ago. Updated almost 8 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
11/05/2015
Due date:
% Done:

100%

Estimated time:
4.00 h
Spent time:
Remaining (hours):
0.0

Description

Joël Cuissinat a écrit :

Le contournement appliqué dans #13755 diminue forcément la sécurité du serveur.

Il faudrait vérifier que cela reste acceptable et si possible trouver une configuration apparmor qui fonctionne.

On devrait également ouvrir un signalement chez Ubuntu et être très vigilent car ce dysfonctionnement pourrait potentiellement arriver sur 2.5.

_Visibement ça a déjà été signalé [1] [2]

History

#1 Updated by Scrum Master almost 8 years ago

  • Status changed from Nouveau to En cours

#2 Updated by Scrum Master almost 8 years ago

  • Description updated (diff)
  • Assigned To set to Daniel Dehennin

#3 Updated by Daniel Dehennin almost 8 years ago

  • Description updated (diff)

#4 Updated by Daniel Dehennin almost 8 years ago

  • % Done changed from 0 to 70
  • Remaining (hours) changed from 4.0 to 1.0

Le signalement Ubuntu 1504781 est corrigé et déployé.

Le paquet lxc - 0.7.5-3ubuntu70 fonctionne correctement sur etb3.amonecole-2.4.2-instance-default avec le profil apparmor réactivé :

  • Version du paquet
    root@amonecole:~# apt-cache policy lxc
    lxc:
      Installé : 0.7.5-3ubuntu70
      Candidat : 0.7.5-3ubuntu70
     Table de version :
     *** 0.7.5-3ubuntu70 0
            500 http://test-eole.ac-dijon.fr/ubuntu/ precise-updates/universe amd64 Packages
            100 /var/lib/dpkg/status
         0.7.5-3ubuntu52 0
            500 http://test-eole.ac-dijon.fr/ubuntu/ precise/universe amd64 Packages
    
  • Profil actif
    root@amonecole:~# service apparmor status
    apparmor module is loaded.
    8 profiles are loaded.
    8 profiles are in enforce mode.
       /sbin/dhclient
       /usr/bin/freshclam
       /usr/bin/lxc-start
       /usr/lib/NetworkManager/nm-dhcp-client.action
       /usr/lib/connman/scripts/dhclient-script
       /usr/sbin/ntpd
       /usr/sbin/tcpdump
       lxc-container-default
    0 profiles are in complain mode.
    5 processes have profiles defined.
    5 processes are in enforce mode.
       /usr/bin/lxc-start (1501) 
       /usr/bin/lxc-start (1857) 
       /usr/bin/lxc-start (2154) 
       /usr/bin/lxc-start (2497) 
       /usr/sbin/ntpd (4165) 
    0 processes are in complain mode.
    0 processes are unconfined but have a profile defined.
    
  • Conteneurs fonctionnels
    root@amonecole:~# lxc-status 
    conteneur reseau accessible
    conteneur partage accessible
    conteneur bdd accessible
    conteneur internet accessible
    

#5 Updated by Scrum Master almost 8 years ago

  • Status changed from En cours to Fermé
  • Remaining (hours) changed from 1.0 to 0.0

#6 Updated by Daniel Dehennin almost 8 years ago

  • % Done changed from 70 to 100

Also available in: Atom PDF