Project

General

Profile

Tâche #13943

Scénario #13769: Étudier l'impact de la correction appliquée pour contourner les problèmes de profil apparmor pour lxc

Étude du problème et de la solution apportée

Added by Joël Cuissinat almost 8 years ago. Updated almost 8 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Daniel Dehennin
Target version:
Distribution EOLE - Sprint 2015 45-47 - Équipe MENESR
Start date:
11/05/2015
Due date:
% Done:

100%

Estimated time:
4.00 h
Spent time:
0.75 h
Remaining (hours):
0.0

Description

Joël Cuissinat a écrit :

Le contournement appliqué dans #13755 diminue forcément la sécurité du serveur.

Il faudrait vérifier que cela reste acceptable et si possible trouver une configuration apparmor qui fonctionne.

On devrait également ouvrir un signalement chez Ubuntu et être très vigilent car ce dysfonctionnement pourrait potentiellement arriver sur 2.5.

_Visibement ça a déjà été signalé [1] [2]

History

#1 Updated by Scrum Master almost 8 years ago

  • Status changed from Nouveau to En cours

#2 Updated by Scrum Master almost 8 years ago

  • Description updated (diff)
  • Assigned To set to Daniel Dehennin

#3 Updated by Daniel Dehennin almost 8 years ago

  • Description updated (diff)

#4 Updated by Daniel Dehennin almost 8 years ago

  • % Done changed from 0 to 70
  • Remaining (hours) changed from 4.0 to 1.0

Le signalement Ubuntu 1504781 est corrigé et déployé.

Le paquet lxc - 0.7.5-3ubuntu70 fonctionne correctement sur etb3.amonecole-2.4.2-instance-default avec le profil apparmor réactivé :

  • Version du paquet
    root@amonecole:~# apt-cache policy lxc
lxc:
  Installé : 0.7.5-3ubuntu70
  Candidat : 0.7.5-3ubuntu70
 Table de version :
 *** 0.7.5-3ubuntu70 0
        500 http://test-eole.ac-dijon.fr/ubuntu/ precise-updates/universe amd64 Packages
        100 /var/lib/dpkg/status
     0.7.5-3ubuntu52 0
        500 http://test-eole.ac-dijon.fr/ubuntu/ precise/universe amd64 Packages
  • Profil actif
    root@amonecole:~# service apparmor status
apparmor module is loaded.
8 profiles are loaded.
8 profiles are in enforce mode.
   /sbin/dhclient
   /usr/bin/freshclam
   /usr/bin/lxc-start
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/connman/scripts/dhclient-script
   /usr/sbin/ntpd
   /usr/sbin/tcpdump
   lxc-container-default
0 profiles are in complain mode.
5 processes have profiles defined.
5 processes are in enforce mode.
   /usr/bin/lxc-start (1501) 
   /usr/bin/lxc-start (1857) 
   /usr/bin/lxc-start (2154) 
   /usr/bin/lxc-start (2497) 
   /usr/sbin/ntpd (4165) 
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
  • Conteneurs fonctionnels
    root@amonecole:~# lxc-status 
conteneur reseau accessible
conteneur partage accessible
conteneur bdd accessible
conteneur internet accessible

#5 Updated by Scrum Master almost 8 years ago

  • Status changed from En cours to Fermé
  • Remaining (hours) changed from 1.0 to 0.0

#6 Updated by Daniel Dehennin almost 8 years ago

  • % Done changed from 70 to 100

Also available in: Atom PDF