Project

General

Profile

Anomalie #8001

message apparmor dans dmesg après redémarrage

Added by Emmanuel GARETTE almost 7 years ago. Updated almost 7 years ago.

Status:
Fermé
Priority:
Haut
Assigned To:
Category:
-
Start date:
Due date:
05/02/2014
% Done:

100%

Estimated time:
2.00 h
Spent time:
Distribution:
EOLE 2.4

Description

Il vaudrait évalué les conséquences de ces messages apparmor :

[   10.391025] type=1400 audit(1397638019.527:44): apparmor="DENIED" operation="open" parent=1381 profile="/usr/bin/freshclam" name="/etc/ldap/ldap.conf" pid=1449 comm="freshclam" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
[   10.397027] type=1400 audit(1397638019.535:45): apparmor="DENIED" operation="capable" parent=1 profile="/usr/bin/freshclam" pid=1450 comm="freshclam" pid=1450 comm="freshclam" capability=1  capname="dac_override" 
[   10.397681] type=1400 audit(1397638019.535:46): apparmor="DENIED" operation="exec" parent=1452 profile="/usr/bin/freshclam" name="/bin/bash" pid=1453 comm="freshclam" requested_mask="x" denied_mask="x" fsuid=0 ouid=0
[   10.635858] type=1400 audit(1397638019.964:47): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/ntpd" name="/etc/ldap/ldap.conf" pid=1580 comm="ntpd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
[   22.561095] type=1400 audit(1397638031.892:48): apparmor="DENIED" operation="capable" parent=1 profile="/usr/sbin/cupsd" pid=625 comm="cupsd" pid=625 comm="cupsd" capability=36  capname="block_suspend" 

Related issues

Related to eole-antivirus - Anomalie #8565: le profil apparmor freshclam n'est pas rechargé Fermé 07/18/2014

Associated revisions

Revision 1dd37ac8 (diff)
Added by Philippe Caseiro almost 7 years ago

tmpl/freshclam.conf : Changement du DatabaseOwner en clamav.

En 2.4 freshclam ne fonctionne pas car il attend que le DatabaseOwner
soit le même que le propriétaire du répertoire /var/lib/clamav/
(clamav).

ref #8001 @40m

Revision b6838aa1 (diff)
Added by Philippe Caseiro almost 7 years ago

posttemplate/00-antivirus : Correction des droits des logs freshclam

Les logs fresclam doivent appartenir à l'utilisateur clamav

ref #8001 @45m

Revision fb0b2fee (diff)
Added by Philippe Caseiro almost 7 years ago

tmpl/named.apparmor.conf : Création du template

dicos/00_common.xml : Ajout du template

Creation du template apparmor local pour named. on autorise named a
écrire dans /etc/bind/**

ref #8001 @1h

Revision 09dd041f (diff)
Added by Philippe Caseiro almost 7 years ago

tmpl/ntpd.apparmor.conf : Création du template

dicos/00_common.xml : Ajout du template

Creation du template apparmor local pour ntpd. on autorise ntpd a lire le
le fichier /etc/ldap/ldap.conf

ref #8001 @45m

Revision c86fd41b (diff)
Added by Philippe Caseiro almost 7 years ago

tmpl/freshclam.apparmor.conf : Création du template

dicos/00_common.xml : Ajout du template

Creation du template apparmor local pour freshclam. on autorise
freshclam a lire le le fichier /etc/ldap/ldap.conf

ref #8001 @45m

Revision 6b812737 (diff)
Added by Daniel Dehennin almost 7 years ago

Erreur de nom du template apparmor pour freshclam

  • dicos/00_common.xml: Ajout du « h » oublié à « freshclam ».

Ref: #8001

Revision 5957947a (diff)
Added by Philippe Caseiro almost 7 years ago

tmpl/namd.apparmor.conf : Déplacement depuis eole-common

ce template utilise des variables du dictionnaire 22_dns, il n' avais
rien a faire dans eole-common.

ref #8001 @15m

Revision 353bba46 (diff)
Added by Philippe Caseiro almost 7 years ago

tmpl/named.apparmor.conf : Déplacement du template dans eole-dns

Ce template utilise des variables du dico 22_dns.xml il n'a rien a faire
dans eole-common

ref #8001 @2m

Revision 840e3dbf (diff)
Added by Philippe Caseiro almost 7 years ago

tmpl/freshclam.apparmor.conf : Déplacement du template dans eole-antivirus

Ce template doit être livré par l'antivirus pas par eole-common

ref #8001 @5m

Revision 3aa3285a (diff)
Added by Philippe Caseiro almost 7 years ago

tmpl/freshclam.apparmor.conf : Déplacement du template depuis eole-common

Ce template doit être livré par eole-antivirus et pas eole-common.

ref #8001 @5m

Revision 31b0b8f2 (diff)
Added by Joël Cuissinat almost 7 years ago

Résolution du conflit avec eole-server sur named.apparmor.conf

Ref: #8001 @10m

Revision 9d2edf9e (diff)
Added by Joël Cuissinat almost 7 years ago

Résolution du conflit avec eole-server sur freshclam.apparmor.conf

Ref: #8001 @10m

Revision 1a024a4a (diff)
Added by Philippe Caseiro almost 7 years ago

dicos/22_mysql.xml : Correction d'une typo dans le nom du template

ref #8001 @20m

Revision cb3ce177 (diff)
Added by Philippe Caseiro almost 7 years ago

dicos/22_mysql.xml : Correction de la destination du fichier de conf apparmor

le fichier doit aller dans /etc/apparmor.d/local et pas dans
/etc/apparmor.d

ref #8001

Revision 360a0f1c (diff)
Added by Philippe Caseiro almost 7 years ago

tmpl/freshclam.apparmor.conf : Ajout des droits pour utiliser bash.

Pour la gestion des mises à jour dans eole le service doit pouvoir
lancer le script /usr/share/eole/sbin/clamd-reload.sh

ref #8001 @20m

Revision 37859c1e (diff)
Added by Philippe Caseiro almost 7 years ago

posttemplate/00-antivirus : Création du fichier de log si il n'existe pas

tml/fresclam.apparmor.conf : Mise à jour des droits pour freschlam

fixes #8001 @2h

History

#1 Updated by Joël Cuissinat almost 7 years ago

  • Due date set to 05/02/2014
  • Estimated time set to 2.00 h

#2 Updated by Benjamin Bohard almost 7 years ago

en plus de désactiver le service apparmor, il faut décharger les profils en mémoire.

Le paquet apparmor-utils contient la commande aa-disable qui permet de décharger le profil d'un programme.

#3 Updated by Benjamin Bohard almost 7 years ago

La commande suivante décharge tous les profils :

sudo /etc/init.d/apparmor teardown

#4 Updated by Benjamin Bohard almost 7 years ago

  • Status changed from Nouveau to En attente d'informations

La désactivation des profils est la création d'un lien dans /etc/apparmor.d/disable sur les profils dans /etc/apparmor.d (chemin absolu).

À voir si la création des liens suffit.

#5 Updated by Philippe Caseiro almost 7 years ago

Après quelques recherches pour les messages freshclam je pense que le problème viens du fait qu'en 2.3 le DatabaseOwner étais root, en 2.4 il s'attend a ce que ce soit clamav.

#6 Updated by Philippe Caseiro almost 7 years ago

Du nouveau sur Amon :

[    1.910095] type=1400 audit(1398256254.959:2): apparmor="STATUS" operation="profile_load" parent=638 profile="unconfined" name="/sbin/dhclient" pid=639 comm="apparmor_parser" 
[    1.910102] type=1400 audit(1398256254.959:3): apparmor="STATUS" operation="profile_load" parent=638 profile="unconfined" name="/usr/lib/NetworkManager/nm-dhcp-client.action" pid=639 comm="apparmor_parser" 
[    1.910106] type=1400 audit(1398256254.959:4): apparmor="STATUS" operation="profile_load" parent=638 profile="unconfined" name="/usr/lib/connman/scripts/dhclient-script" pid=639 comm="apparmor_parser" 
[    1.910333] type=1400 audit(1398256254.959:5): apparmor="STATUS" operation="profile_replace" parent=638 profile="unconfined" name="/usr/lib/NetworkManager/nm-dhcp-client.action" pid=639 comm="apparmor_parser" 
[    1.910337] type=1400 audit(1398256254.959:6): apparmor="STATUS" operation="profile_replace" parent=638 profile="unconfined" name="/usr/lib/connman/scripts/dhclient-script" pid=639 comm="apparmor_parser" 
[    1.910454] type=1400 audit(1398256254.959:7): apparmor="STATUS" operation="profile_replace" parent=638 profile="unconfined" name="/usr/lib/connman/scripts/dhclient-script" pid=639 comm="apparmor_parser" 
[    1.913910] type=1400 audit(1398256254.963:8): apparmor="STATUS" operation="profile_load" parent=638 profile="unconfined" name="/usr/sbin/ntpd" pid=641 comm="apparmor_parser" 
[    2.628451] type=1400 audit(1398256255.679:9): apparmor="STATUS" operation="profile_replace" parent=1156 profile="unconfined" name="/sbin/dhclient" pid=1161 comm="apparmor_parser" 
[    2.628457] type=1400 audit(1398256255.679:10): apparmor="STATUS" operation="profile_replace" parent=1156 profile="unconfined" name="/usr/lib/NetworkManager/nm-dhcp-client.action" pid=1161 comm="apparmor_parser" 
[  785.167761] type=1400 audit(1398257037.938:20): apparmor="DENIED" operation="mknod" parent=1 profile="/usr/sbin/named" name="/etc/bind/tmp-ftNoymKq6g" pid=12254 comm="named" requested_mask="c" denied_mask="c" fsuid=104 ouid=104
[  785.168721] type=1400 audit(1398257037.942:21): apparmor="DENIED" operation="mknod" parent=1 profile="/usr/sbin/named" name="/etc/bind/tmp-0Cs4FEjHQ9" pid=12254 comm="named" requested_mask="c" denied_mask="c" fsuid=104 ouid=104

#7 Updated by Philippe Caseiro almost 7 years ago

  • % Done changed from 0 to 80

Il reste des messages apparmor.

Celui qui vas poser problème est un bug ubuntu : https://bugs.launchpad.net/ubuntu/+source/apparmor/+bug/1199933

Impossible d'ajouter la "capabality" car apparmor de la connais pas.

Je n'ai pas de solution pour le moment.

#8 Updated by Joël Cuissinat almost 7 years ago

Sur Horus, je constate des problèmes d'accès à /etc/ldap/ldap.conf pour ntpd et mysqld :

[704336.139639] type=1400 audit(1398257936.577:488): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/mysqld" name="/etc/ldap/ldap.conf" pid=9786 comm="mysqld" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
[704354.582334] type=1400 audit(1398257955.021:489): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/ntpd" name="/etc/ldap/ldap.conf" pid=10459 comm="ntpd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0

#9 Updated by Philippe Caseiro almost 7 years ago

Problème (instance et reconfigure) sur shynx suite à la mise à jour :

INSTANCE => ERR : Erreur lors de l'instanciation des
templates : Erreur: Utilisation d'une variable non existante dans le
template de /etc/apparmor.d/local/usr.sbin.named : u'dns_master_eth1'
Erreur: Utilisation d'une variable non existante dans le template de
/etc/apparmor.d/local/usr.sbin.named : u'dns_master_eth1'

#10 Updated by Philippe Caseiro almost 7 years ago

  • Status changed from En attente d'informations to Résolu

Le dernier message est celui de CUPS qui cherche a utiliser une capa que apparmor ne connais pas.

Ce problème existe chez ubuntu et ils n'ont pas l'intention de faire quelque chose.
Cela ce produit quand on utilise des noyaux récents sur une LTS 12.04.

#11 Updated by Philippe Caseiro almost 7 years ago

  • Assigned To set to Philippe Caseiro
  • % Done changed from 80 to 100

#12 Updated by Emmanuel GARETTE almost 7 years ago

  • Status changed from Résolu to Fermé

Je n'ai que des messages concernant CUPS :

root@scribe:~# dmesg |grep DENIED
[  784.326534] type=1400 audit(1398669507.318:34): apparmor="DENIED" operation="capable" parent=1 profile="/usr/sbin/cupsd" pid=640 comm="cupsd" pid=640 comm="cupsd" capability=36  capname="block_suspend" 
[ 4272.216524] type=1400 audit(1398672995.140:41): apparmor="DENIED" operation="capable" parent=1 profile="/usr/sbin/cupsd" pid=8455 comm="cupsd" pid=8455 comm="cupsd" capability=36  capname="block_suspend" 

#13 Updated by Emmanuel GARETTE almost 7 years ago

  • Status changed from Fermé to En attente d'informations
  • % Done changed from 100 to 50

Il y a toujours des problèmes (quand freshclam se met à jour) :

[21333.720023] type=1400 audit(1398690056.645:50): apparmor="DENIED" operation="exec" parent=27904 profile="/usr/bin/freshclam" name="/bin/bash" pid=27905 comm="freshclam" requested_mask="x" denied_mask="x" fsuid=106 ouid=0
[21651.788996] type=1400 audit(1398690374.710:51): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/clamd" name="/etc/clamav/" pid=29082 comm="clamd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0

#14 Updated by Philippe Caseiro almost 7 years ago

  • Status changed from En attente d'informations to Résolu
  • % Done changed from 50 to 100

#15 Updated by Philippe Caseiro almost 7 years ago

  • Status changed from Résolu to Fermé

plus de problèmes avec les derniers paquets

Also available in: Atom PDF