Projet

Général

Profil

Anomalie #8001

message apparmor dans dmesg après redémarrage

Ajouté par Emmanuel GARETTE il y a environ 10 ans. Mis à jour il y a presque 10 ans.

Statut:
Fermé
Priorité:
Haut
Assigné à:
Philippe Caseiro
Catégorie:
-
Version cible:
Distribution EOLE - Eole 2.4 Stable
Début:
Echéance:
02/05/2014
% réalisé:

100%

Temps estimé:
2.00 h
Temps passé:
7.87 h
Distribution:
EOLE 2.4

Description

Il vaudrait évalué les conséquences de ces messages apparmor :

[   10.391025] type=1400 audit(1397638019.527:44): apparmor="DENIED" operation="open" parent=1381 profile="/usr/bin/freshclam" name="/etc/ldap/ldap.conf" pid=1449 comm="freshclam" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
[   10.397027] type=1400 audit(1397638019.535:45): apparmor="DENIED" operation="capable" parent=1 profile="/usr/bin/freshclam" pid=1450 comm="freshclam" pid=1450 comm="freshclam" capability=1  capname="dac_override" 
[   10.397681] type=1400 audit(1397638019.535:46): apparmor="DENIED" operation="exec" parent=1452 profile="/usr/bin/freshclam" name="/bin/bash" pid=1453 comm="freshclam" requested_mask="x" denied_mask="x" fsuid=0 ouid=0
[   10.635858] type=1400 audit(1397638019.964:47): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/ntpd" name="/etc/ldap/ldap.conf" pid=1580 comm="ntpd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
[   22.561095] type=1400 audit(1397638031.892:48): apparmor="DENIED" operation="capable" parent=1 profile="/usr/sbin/cupsd" pid=625 comm="cupsd" pid=625 comm="cupsd" capability=36  capname="block_suspend"

Demandes liées

Lié à eole-antivirus - Anomalie #8565: le profil apparmor freshclam n'est pas rechargé Fermé 18/07/2014

Révisions associées

Révision 1dd37ac8 (diff)
Ajouté par Philippe Caseiro il y a environ 10 ans

tmpl/freshclam.conf : Changement du DatabaseOwner en clamav.

En 2.4 freshclam ne fonctionne pas car il attend que le DatabaseOwner
soit le même que le propriétaire du répertoire /var/lib/clamav/
(clamav).

ref #8001 @40m

Révision b6838aa1 (diff)
Ajouté par Philippe Caseiro il y a environ 10 ans

posttemplate/00-antivirus : Correction des droits des logs freshclam

Les logs fresclam doivent appartenir à l'utilisateur clamav

ref #8001 @45m

Révision fb0b2fee (diff)
Ajouté par Philippe Caseiro il y a environ 10 ans

tmpl/named.apparmor.conf : Création du template

dicos/00_common.xml : Ajout du template

Creation du template apparmor local pour named. on autorise named a
écrire dans /etc/bind/**

ref #8001 @1h

Révision 09dd041f (diff)
Ajouté par Philippe Caseiro il y a environ 10 ans

tmpl/ntpd.apparmor.conf : Création du template

dicos/00_common.xml : Ajout du template

Creation du template apparmor local pour ntpd. on autorise ntpd a lire le
le fichier /etc/ldap/ldap.conf

ref #8001 @45m

Révision c86fd41b (diff)
Ajouté par Philippe Caseiro il y a environ 10 ans

tmpl/freshclam.apparmor.conf : Création du template

dicos/00_common.xml : Ajout du template

Creation du template apparmor local pour freshclam. on autorise
freshclam a lire le le fichier /etc/ldap/ldap.conf

ref #8001 @45m

Révision 6b812737 (diff)
Ajouté par Daniel Dehennin il y a environ 10 ans

Erreur de nom du template apparmor pour freshclam

  • dicos/00_common.xml: Ajout du « h » oublié à « freshclam ».

Ref: #8001

Révision 5957947a (diff)
Ajouté par Philippe Caseiro il y a environ 10 ans

tmpl/namd.apparmor.conf : Déplacement depuis eole-common

ce template utilise des variables du dictionnaire 22_dns, il n' avais
rien a faire dans eole-common.

ref #8001 @15m

Révision 353bba46 (diff)
Ajouté par Philippe Caseiro il y a environ 10 ans

tmpl/named.apparmor.conf : Déplacement du template dans eole-dns

Ce template utilise des variables du dico 22_dns.xml il n'a rien a faire
dans eole-common

ref #8001 @2m

Révision 840e3dbf (diff)
Ajouté par Philippe Caseiro il y a environ 10 ans

tmpl/freshclam.apparmor.conf : Déplacement du template dans eole-antivirus

Ce template doit être livré par l'antivirus pas par eole-common

ref #8001 @5m

Révision 3aa3285a (diff)
Ajouté par Philippe Caseiro il y a environ 10 ans

tmpl/freshclam.apparmor.conf : Déplacement du template depuis eole-common

Ce template doit être livré par eole-antivirus et pas eole-common.

ref #8001 @5m

Révision 31b0b8f2 (diff)
Ajouté par Joël Cuissinat il y a environ 10 ans

Résolution du conflit avec eole-server sur named.apparmor.conf

Ref: #8001 @10m

Révision 9d2edf9e (diff)
Ajouté par Joël Cuissinat il y a environ 10 ans

Résolution du conflit avec eole-server sur freshclam.apparmor.conf

Ref: #8001 @10m

Révision 1a024a4a (diff)
Ajouté par Philippe Caseiro il y a environ 10 ans

dicos/22_mysql.xml : Correction d'une typo dans le nom du template

ref #8001 @20m

Révision cb3ce177 (diff)
Ajouté par Philippe Caseiro il y a environ 10 ans

dicos/22_mysql.xml : Correction de la destination du fichier de conf apparmor

le fichier doit aller dans /etc/apparmor.d/local et pas dans
/etc/apparmor.d

ref #8001

Révision 360a0f1c (diff)
Ajouté par Philippe Caseiro il y a presque 10 ans

tmpl/freshclam.apparmor.conf : Ajout des droits pour utiliser bash.

Pour la gestion des mises à jour dans eole le service doit pouvoir
lancer le script /usr/share/eole/sbin/clamd-reload.sh

ref #8001 @20m

Révision 37859c1e (diff)
Ajouté par Philippe Caseiro il y a presque 10 ans

posttemplate/00-antivirus : Création du fichier de log si il n'existe pas

tml/fresclam.apparmor.conf : Mise à jour des droits pour freschlam

fixes #8001 @2h

Historique

#1 Mis à jour par Joël Cuissinat il y a environ 10 ans

  • Echéance mis à 02/05/2014
  • Temps estimé mis à 2.00 h

#2 Mis à jour par Benjamin Bohard il y a environ 10 ans

en plus de désactiver le service apparmor, il faut décharger les profils en mémoire.

Le paquet apparmor-utils contient la commande aa-disable qui permet de décharger le profil d'un programme.

#3 Mis à jour par Benjamin Bohard il y a environ 10 ans

La commande suivante décharge tous les profils : 

sudo /etc/init.d/apparmor teardown

#4 Mis à jour par Benjamin Bohard il y a environ 10 ans

  • Statut changé de Nouveau à En attente d'informations

La désactivation des profils est la création d'un lien dans /etc/apparmor.d/disable sur les profils dans /etc/apparmor.d (chemin absolu).

À voir si la création des liens suffit.

#5 Mis à jour par Philippe Caseiro il y a environ 10 ans

Après quelques recherches pour les messages freshclam je pense que le problème viens du fait qu'en 2.3 le DatabaseOwner étais root, en 2.4 il s'attend a ce que ce soit clamav.

#6 Mis à jour par Philippe Caseiro il y a environ 10 ans

Du nouveau sur Amon :

[    1.910095] type=1400 audit(1398256254.959:2): apparmor="STATUS" operation="profile_load" parent=638 profile="unconfined" name="/sbin/dhclient" pid=639 comm="apparmor_parser" 
[    1.910102] type=1400 audit(1398256254.959:3): apparmor="STATUS" operation="profile_load" parent=638 profile="unconfined" name="/usr/lib/NetworkManager/nm-dhcp-client.action" pid=639 comm="apparmor_parser" 
[    1.910106] type=1400 audit(1398256254.959:4): apparmor="STATUS" operation="profile_load" parent=638 profile="unconfined" name="/usr/lib/connman/scripts/dhclient-script" pid=639 comm="apparmor_parser" 
[    1.910333] type=1400 audit(1398256254.959:5): apparmor="STATUS" operation="profile_replace" parent=638 profile="unconfined" name="/usr/lib/NetworkManager/nm-dhcp-client.action" pid=639 comm="apparmor_parser" 
[    1.910337] type=1400 audit(1398256254.959:6): apparmor="STATUS" operation="profile_replace" parent=638 profile="unconfined" name="/usr/lib/connman/scripts/dhclient-script" pid=639 comm="apparmor_parser" 
[    1.910454] type=1400 audit(1398256254.959:7): apparmor="STATUS" operation="profile_replace" parent=638 profile="unconfined" name="/usr/lib/connman/scripts/dhclient-script" pid=639 comm="apparmor_parser" 
[    1.913910] type=1400 audit(1398256254.963:8): apparmor="STATUS" operation="profile_load" parent=638 profile="unconfined" name="/usr/sbin/ntpd" pid=641 comm="apparmor_parser" 
[    2.628451] type=1400 audit(1398256255.679:9): apparmor="STATUS" operation="profile_replace" parent=1156 profile="unconfined" name="/sbin/dhclient" pid=1161 comm="apparmor_parser" 
[    2.628457] type=1400 audit(1398256255.679:10): apparmor="STATUS" operation="profile_replace" parent=1156 profile="unconfined" name="/usr/lib/NetworkManager/nm-dhcp-client.action" pid=1161 comm="apparmor_parser" 
[  785.167761] type=1400 audit(1398257037.938:20): apparmor="DENIED" operation="mknod" parent=1 profile="/usr/sbin/named" name="/etc/bind/tmp-ftNoymKq6g" pid=12254 comm="named" requested_mask="c" denied_mask="c" fsuid=104 ouid=104
[  785.168721] type=1400 audit(1398257037.942:21): apparmor="DENIED" operation="mknod" parent=1 profile="/usr/sbin/named" name="/etc/bind/tmp-0Cs4FEjHQ9" pid=12254 comm="named" requested_mask="c" denied_mask="c" fsuid=104 ouid=104

#7 Mis à jour par Philippe Caseiro il y a environ 10 ans

  • % réalisé changé de 0 à 80

Il reste des messages apparmor.

Celui qui vas poser problème est un bug ubuntu : https://bugs.launchpad.net/ubuntu/+source/apparmor/+bug/1199933

Impossible d'ajouter la "capabality" car apparmor de la connais pas.

Je n'ai pas de solution pour le moment.

#8 Mis à jour par Joël Cuissinat il y a environ 10 ans

Sur Horus, je constate des problèmes d'accès à /etc/ldap/ldap.conf pour ntpd et mysqld :

[704336.139639] type=1400 audit(1398257936.577:488): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/mysqld" name="/etc/ldap/ldap.conf" pid=9786 comm="mysqld" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
[704354.582334] type=1400 audit(1398257955.021:489): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/ntpd" name="/etc/ldap/ldap.conf" pid=10459 comm="ntpd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0

#9 Mis à jour par Philippe Caseiro il y a environ 10 ans

Problème (instance et reconfigure) sur shynx suite à la mise à jour :

INSTANCE => ERR : Erreur lors de l'instanciation des
templates : Erreur: Utilisation d'une variable non existante dans le
template de /etc/apparmor.d/local/usr.sbin.named : u'dns_master_eth1'
Erreur: Utilisation d'une variable non existante dans le template de
/etc/apparmor.d/local/usr.sbin.named : u'dns_master_eth1'

#10 Mis à jour par Philippe Caseiro il y a presque 10 ans

  • Statut changé de En attente d'informations à Résolu

Le dernier message est celui de CUPS qui cherche a utiliser une capa que apparmor ne connais pas.

Ce problème existe chez ubuntu et ils n'ont pas l'intention de faire quelque chose.
Cela ce produit quand on utilise des noyaux récents sur une LTS 12.04.

#11 Mis à jour par Philippe Caseiro il y a presque 10 ans

  • Assigné à mis à Philippe Caseiro
  • % réalisé changé de 80 à 100

#12 Mis à jour par Emmanuel GARETTE il y a presque 10 ans

  • Statut changé de Résolu à Fermé

Je n'ai que des messages concernant CUPS :

root@scribe:~# dmesg |grep DENIED
[  784.326534] type=1400 audit(1398669507.318:34): apparmor="DENIED" operation="capable" parent=1 profile="/usr/sbin/cupsd" pid=640 comm="cupsd" pid=640 comm="cupsd" capability=36  capname="block_suspend" 
[ 4272.216524] type=1400 audit(1398672995.140:41): apparmor="DENIED" operation="capable" parent=1 profile="/usr/sbin/cupsd" pid=8455 comm="cupsd" pid=8455 comm="cupsd" capability=36  capname="block_suspend"

#13 Mis à jour par Emmanuel GARETTE il y a presque 10 ans

  • Statut changé de Fermé à En attente d'informations
  • % réalisé changé de 100 à 50

Il y a toujours des problèmes (quand freshclam se met à jour) :

[21333.720023] type=1400 audit(1398690056.645:50): apparmor="DENIED" operation="exec" parent=27904 profile="/usr/bin/freshclam" name="/bin/bash" pid=27905 comm="freshclam" requested_mask="x" denied_mask="x" fsuid=106 ouid=0
[21651.788996] type=1400 audit(1398690374.710:51): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/clamd" name="/etc/clamav/" pid=29082 comm="clamd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0

#14 Mis à jour par Philippe Caseiro il y a presque 10 ans

  • Statut changé de En attente d'informations à Résolu
  • % réalisé changé de 50 à 100

#15 Mis à jour par Philippe Caseiro il y a presque 10 ans

  • Statut changé de Résolu à Fermé

plus de problèmes avec les derniers paquets

Formats disponibles : Atom PDF