Anomalie #8001
message apparmor dans dmesg après redémarrage
Description
Il vaudrait évalué les conséquences de ces messages apparmor :
[ 10.391025] type=1400 audit(1397638019.527:44): apparmor="DENIED" operation="open" parent=1381 profile="/usr/bin/freshclam" name="/etc/ldap/ldap.conf" pid=1449 comm="freshclam" requested_mask="r" denied_mask="r" fsuid=0 ouid=0 [ 10.397027] type=1400 audit(1397638019.535:45): apparmor="DENIED" operation="capable" parent=1 profile="/usr/bin/freshclam" pid=1450 comm="freshclam" pid=1450 comm="freshclam" capability=1 capname="dac_override" [ 10.397681] type=1400 audit(1397638019.535:46): apparmor="DENIED" operation="exec" parent=1452 profile="/usr/bin/freshclam" name="/bin/bash" pid=1453 comm="freshclam" requested_mask="x" denied_mask="x" fsuid=0 ouid=0 [ 10.635858] type=1400 audit(1397638019.964:47): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/ntpd" name="/etc/ldap/ldap.conf" pid=1580 comm="ntpd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0 [ 22.561095] type=1400 audit(1397638031.892:48): apparmor="DENIED" operation="capable" parent=1 profile="/usr/sbin/cupsd" pid=625 comm="cupsd" pid=625 comm="cupsd" capability=36 capname="block_suspend"
Demandes liées
Révisions associées
tmpl/freshclam.conf : Changement du DatabaseOwner en clamav.
En 2.4 freshclam ne fonctionne pas car il attend que le DatabaseOwner
soit le même que le propriétaire du répertoire /var/lib/clamav/
(clamav).
ref #8001 @40m
posttemplate/00-antivirus : Correction des droits des logs freshclam
Les logs fresclam doivent appartenir à l'utilisateur clamav
ref #8001 @45m
tmpl/named.apparmor.conf : Création du template
dicos/00_common.xml : Ajout du template
Creation du template apparmor local pour named. on autorise named a
écrire dans /etc/bind/**
ref #8001 @1h
tmpl/ntpd.apparmor.conf : Création du template
dicos/00_common.xml : Ajout du template
Creation du template apparmor local pour ntpd. on autorise ntpd a lire le
le fichier /etc/ldap/ldap.conf
ref #8001 @45m
tmpl/freshclam.apparmor.conf : Création du template
dicos/00_common.xml : Ajout du template
Creation du template apparmor local pour freshclam. on autorise
freshclam a lire le le fichier /etc/ldap/ldap.conf
ref #8001 @45m
Erreur de nom du template apparmor pour freshclam
- dicos/00_common.xml: Ajout du « h » oublié à « freshclam ».
Ref: #8001
tmpl/namd.apparmor.conf : Déplacement depuis eole-common
ce template utilise des variables du dictionnaire 22_dns, il n' avais
rien a faire dans eole-common.
ref #8001 @15m
tmpl/named.apparmor.conf : Déplacement du template dans eole-dns
Ce template utilise des variables du dico 22_dns.xml il n'a rien a faire
dans eole-common
ref #8001 @2m
tmpl/freshclam.apparmor.conf : Déplacement du template dans eole-antivirus
Ce template doit être livré par l'antivirus pas par eole-common
ref #8001 @5m
tmpl/freshclam.apparmor.conf : Déplacement du template depuis eole-common
Ce template doit être livré par eole-antivirus et pas eole-common.
ref #8001 @5m
Résolution du conflit avec eole-server sur named.apparmor.conf
Ref: #8001 @10m
Résolution du conflit avec eole-server sur freshclam.apparmor.conf
Ref: #8001 @10m
dicos/22_mysql.xml : Correction d'une typo dans le nom du template
ref #8001 @20m
dicos/22_mysql.xml : Correction de la destination du fichier de conf apparmor
le fichier doit aller dans /etc/apparmor.d/local et pas dans
/etc/apparmor.d
ref #8001
tmpl/freshclam.apparmor.conf : Ajout des droits pour utiliser bash.
Pour la gestion des mises à jour dans eole le service doit pouvoir
lancer le script /usr/share/eole/sbin/clamd-reload.sh
ref #8001 @20m
posttemplate/00-antivirus : Création du fichier de log si il n'existe pas
tml/fresclam.apparmor.conf : Mise à jour des droits pour freschlam
fixes #8001 @2h
Historique
#1 Mis à jour par Joël Cuissinat il y a environ 10 ans
- Echéance mis à 02/05/2014
- Temps estimé mis à 2.00 h
#2 Mis à jour par Benjamin Bohard il y a environ 10 ans
en plus de désactiver le service apparmor, il faut décharger les profils en mémoire.
Le paquet apparmor-utils contient la commande aa-disable qui permet de décharger le profil d'un programme.
#3 Mis à jour par Benjamin Bohard il y a environ 10 ans
La commande suivante décharge tous les profils :
sudo /etc/init.d/apparmor teardown
#4 Mis à jour par Benjamin Bohard il y a environ 10 ans
- Statut changé de Nouveau à En attente d'informations
La désactivation des profils est la création d'un lien dans /etc/apparmor.d/disable sur les profils dans /etc/apparmor.d (chemin absolu).
À voir si la création des liens suffit.
#5 Mis à jour par Philippe Caseiro il y a environ 10 ans
Après quelques recherches pour les messages freshclam je pense que le problème viens du fait qu'en 2.3 le DatabaseOwner étais root, en 2.4 il s'attend a ce que ce soit clamav.
#6 Mis à jour par Philippe Caseiro il y a environ 10 ans
Du nouveau sur Amon :
[ 1.910095] type=1400 audit(1398256254.959:2): apparmor="STATUS" operation="profile_load" parent=638 profile="unconfined" name="/sbin/dhclient" pid=639 comm="apparmor_parser" [ 1.910102] type=1400 audit(1398256254.959:3): apparmor="STATUS" operation="profile_load" parent=638 profile="unconfined" name="/usr/lib/NetworkManager/nm-dhcp-client.action" pid=639 comm="apparmor_parser" [ 1.910106] type=1400 audit(1398256254.959:4): apparmor="STATUS" operation="profile_load" parent=638 profile="unconfined" name="/usr/lib/connman/scripts/dhclient-script" pid=639 comm="apparmor_parser" [ 1.910333] type=1400 audit(1398256254.959:5): apparmor="STATUS" operation="profile_replace" parent=638 profile="unconfined" name="/usr/lib/NetworkManager/nm-dhcp-client.action" pid=639 comm="apparmor_parser" [ 1.910337] type=1400 audit(1398256254.959:6): apparmor="STATUS" operation="profile_replace" parent=638 profile="unconfined" name="/usr/lib/connman/scripts/dhclient-script" pid=639 comm="apparmor_parser" [ 1.910454] type=1400 audit(1398256254.959:7): apparmor="STATUS" operation="profile_replace" parent=638 profile="unconfined" name="/usr/lib/connman/scripts/dhclient-script" pid=639 comm="apparmor_parser" [ 1.913910] type=1400 audit(1398256254.963:8): apparmor="STATUS" operation="profile_load" parent=638 profile="unconfined" name="/usr/sbin/ntpd" pid=641 comm="apparmor_parser" [ 2.628451] type=1400 audit(1398256255.679:9): apparmor="STATUS" operation="profile_replace" parent=1156 profile="unconfined" name="/sbin/dhclient" pid=1161 comm="apparmor_parser" [ 2.628457] type=1400 audit(1398256255.679:10): apparmor="STATUS" operation="profile_replace" parent=1156 profile="unconfined" name="/usr/lib/NetworkManager/nm-dhcp-client.action" pid=1161 comm="apparmor_parser" [ 785.167761] type=1400 audit(1398257037.938:20): apparmor="DENIED" operation="mknod" parent=1 profile="/usr/sbin/named" name="/etc/bind/tmp-ftNoymKq6g" pid=12254 comm="named" requested_mask="c" denied_mask="c" fsuid=104 ouid=104 [ 785.168721] type=1400 audit(1398257037.942:21): apparmor="DENIED" operation="mknod" parent=1 profile="/usr/sbin/named" name="/etc/bind/tmp-0Cs4FEjHQ9" pid=12254 comm="named" requested_mask="c" denied_mask="c" fsuid=104 ouid=104
#7 Mis à jour par Philippe Caseiro il y a environ 10 ans
- % réalisé changé de 0 à 80
Il reste des messages apparmor.
Celui qui vas poser problème est un bug ubuntu : https://bugs.launchpad.net/ubuntu/+source/apparmor/+bug/1199933
Impossible d'ajouter la "capabality" car apparmor de la connais pas.
Je n'ai pas de solution pour le moment.
#8 Mis à jour par Joël Cuissinat il y a environ 10 ans
Sur Horus, je constate des problèmes d'accès à /etc/ldap/ldap.conf pour ntpd et mysqld :
[704336.139639] type=1400 audit(1398257936.577:488): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/mysqld" name="/etc/ldap/ldap.conf" pid=9786 comm="mysqld" requested_mask="r" denied_mask="r" fsuid=0 ouid=0 [704354.582334] type=1400 audit(1398257955.021:489): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/ntpd" name="/etc/ldap/ldap.conf" pid=10459 comm="ntpd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
#9 Mis à jour par Philippe Caseiro il y a environ 10 ans
Problème (instance et reconfigure) sur shynx suite à la mise à jour :
INSTANCE => ERR : Erreur lors de l'instanciation des templates : Erreur: Utilisation d'une variable non existante dans le template de /etc/apparmor.d/local/usr.sbin.named : u'dns_master_eth1' Erreur: Utilisation d'une variable non existante dans le template de /etc/apparmor.d/local/usr.sbin.named : u'dns_master_eth1'
#10 Mis à jour par Philippe Caseiro il y a presque 10 ans
- Statut changé de En attente d'informations à Résolu
Le dernier message est celui de CUPS qui cherche a utiliser une capa que apparmor ne connais pas.
Ce problème existe chez ubuntu et ils n'ont pas l'intention de faire quelque chose.
Cela ce produit quand on utilise des noyaux récents sur une LTS 12.04.
#11 Mis à jour par Philippe Caseiro il y a presque 10 ans
- Assigné à mis à Philippe Caseiro
- % réalisé changé de 80 à 100
#12 Mis à jour par Emmanuel GARETTE il y a presque 10 ans
- Statut changé de Résolu à Fermé
Je n'ai que des messages concernant CUPS :
root@scribe:~# dmesg |grep DENIED [ 784.326534] type=1400 audit(1398669507.318:34): apparmor="DENIED" operation="capable" parent=1 profile="/usr/sbin/cupsd" pid=640 comm="cupsd" pid=640 comm="cupsd" capability=36 capname="block_suspend" [ 4272.216524] type=1400 audit(1398672995.140:41): apparmor="DENIED" operation="capable" parent=1 profile="/usr/sbin/cupsd" pid=8455 comm="cupsd" pid=8455 comm="cupsd" capability=36 capname="block_suspend"
#13 Mis à jour par Emmanuel GARETTE il y a presque 10 ans
- Statut changé de Fermé à En attente d'informations
- % réalisé changé de 100 à 50
Il y a toujours des problèmes (quand freshclam se met à jour) :
[21333.720023] type=1400 audit(1398690056.645:50): apparmor="DENIED" operation="exec" parent=27904 profile="/usr/bin/freshclam" name="/bin/bash" pid=27905 comm="freshclam" requested_mask="x" denied_mask="x" fsuid=106 ouid=0 [21651.788996] type=1400 audit(1398690374.710:51): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/clamd" name="/etc/clamav/" pid=29082 comm="clamd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
#14 Mis à jour par Philippe Caseiro il y a presque 10 ans
- Statut changé de En attente d'informations à Résolu
- % réalisé changé de 50 à 100
Appliqué par commit eole-antivirus:37859c1efe756faf082ca2fb3bc3c040549a3c81.
#15 Mis à jour par Philippe Caseiro il y a presque 10 ans
- Statut changé de Résolu à Fermé
plus de problèmes avec les derniers paquets