Anomalie #8001
message apparmor dans dmesg après redémarrage
Description
Il vaudrait évalué les conséquences de ces messages apparmor :
[ 10.391025] type=1400 audit(1397638019.527:44): apparmor="DENIED" operation="open" parent=1381 profile="/usr/bin/freshclam" name="/etc/ldap/ldap.conf" pid=1449 comm="freshclam" requested_mask="r" denied_mask="r" fsuid=0 ouid=0 [ 10.397027] type=1400 audit(1397638019.535:45): apparmor="DENIED" operation="capable" parent=1 profile="/usr/bin/freshclam" pid=1450 comm="freshclam" pid=1450 comm="freshclam" capability=1 capname="dac_override" [ 10.397681] type=1400 audit(1397638019.535:46): apparmor="DENIED" operation="exec" parent=1452 profile="/usr/bin/freshclam" name="/bin/bash" pid=1453 comm="freshclam" requested_mask="x" denied_mask="x" fsuid=0 ouid=0 [ 10.635858] type=1400 audit(1397638019.964:47): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/ntpd" name="/etc/ldap/ldap.conf" pid=1580 comm="ntpd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0 [ 22.561095] type=1400 audit(1397638031.892:48): apparmor="DENIED" operation="capable" parent=1 profile="/usr/sbin/cupsd" pid=625 comm="cupsd" pid=625 comm="cupsd" capability=36 capname="block_suspend"
Related issues
Associated revisions
tmpl/freshclam.conf : Changement du DatabaseOwner en clamav.
En 2.4 freshclam ne fonctionne pas car il attend que le DatabaseOwner
soit le même que le propriétaire du répertoire /var/lib/clamav/
(clamav).
ref #8001 @40m
posttemplate/00-antivirus : Correction des droits des logs freshclam
Les logs fresclam doivent appartenir à l'utilisateur clamav
ref #8001 @45m
tmpl/named.apparmor.conf : Création du template
dicos/00_common.xml : Ajout du template
Creation du template apparmor local pour named. on autorise named a
écrire dans /etc/bind/**
ref #8001 @1h
tmpl/ntpd.apparmor.conf : Création du template
dicos/00_common.xml : Ajout du template
Creation du template apparmor local pour ntpd. on autorise ntpd a lire le
le fichier /etc/ldap/ldap.conf
ref #8001 @45m
tmpl/freshclam.apparmor.conf : Création du template
dicos/00_common.xml : Ajout du template
Creation du template apparmor local pour freshclam. on autorise
freshclam a lire le le fichier /etc/ldap/ldap.conf
ref #8001 @45m
Erreur de nom du template apparmor pour freshclam
- dicos/00_common.xml: Ajout du « h » oublié à « freshclam ».
Ref: #8001
tmpl/namd.apparmor.conf : Déplacement depuis eole-common
ce template utilise des variables du dictionnaire 22_dns, il n' avais
rien a faire dans eole-common.
ref #8001 @15m
tmpl/named.apparmor.conf : Déplacement du template dans eole-dns
Ce template utilise des variables du dico 22_dns.xml il n'a rien a faire
dans eole-common
ref #8001 @2m
tmpl/freshclam.apparmor.conf : Déplacement du template dans eole-antivirus
Ce template doit être livré par l'antivirus pas par eole-common
ref #8001 @5m
tmpl/freshclam.apparmor.conf : Déplacement du template depuis eole-common
Ce template doit être livré par eole-antivirus et pas eole-common.
ref #8001 @5m
Résolution du conflit avec eole-server sur named.apparmor.conf
Ref: #8001 @10m
Résolution du conflit avec eole-server sur freshclam.apparmor.conf
Ref: #8001 @10m
dicos/22_mysql.xml : Correction d'une typo dans le nom du template
ref #8001 @20m
dicos/22_mysql.xml : Correction de la destination du fichier de conf apparmor
le fichier doit aller dans /etc/apparmor.d/local et pas dans
/etc/apparmor.d
ref #8001
tmpl/freshclam.apparmor.conf : Ajout des droits pour utiliser bash.
Pour la gestion des mises à jour dans eole le service doit pouvoir
lancer le script /usr/share/eole/sbin/clamd-reload.sh
ref #8001 @20m
posttemplate/00-antivirus : Création du fichier de log si il n'existe pas
tml/fresclam.apparmor.conf : Mise à jour des droits pour freschlam
fixes #8001 @2h
History
#1 Updated by Joël Cuissinat almost 7 years ago
- Due date set to 05/02/2014
- Estimated time set to 2.00 h
#2 Updated by Benjamin Bohard almost 7 years ago
en plus de désactiver le service apparmor, il faut décharger les profils en mémoire.
Le paquet apparmor-utils contient la commande aa-disable qui permet de décharger le profil d'un programme.
#3 Updated by Benjamin Bohard almost 7 years ago
La commande suivante décharge tous les profils :
sudo /etc/init.d/apparmor teardown
#4 Updated by Benjamin Bohard almost 7 years ago
- Status changed from Nouveau to En attente d'informations
La désactivation des profils est la création d'un lien dans /etc/apparmor.d/disable sur les profils dans /etc/apparmor.d (chemin absolu).
À voir si la création des liens suffit.
#5 Updated by Philippe Caseiro almost 7 years ago
Après quelques recherches pour les messages freshclam je pense que le problème viens du fait qu'en 2.3 le DatabaseOwner étais root, en 2.4 il s'attend a ce que ce soit clamav.
#6 Updated by Philippe Caseiro almost 7 years ago
Du nouveau sur Amon :
[ 1.910095] type=1400 audit(1398256254.959:2): apparmor="STATUS" operation="profile_load" parent=638 profile="unconfined" name="/sbin/dhclient" pid=639 comm="apparmor_parser" [ 1.910102] type=1400 audit(1398256254.959:3): apparmor="STATUS" operation="profile_load" parent=638 profile="unconfined" name="/usr/lib/NetworkManager/nm-dhcp-client.action" pid=639 comm="apparmor_parser" [ 1.910106] type=1400 audit(1398256254.959:4): apparmor="STATUS" operation="profile_load" parent=638 profile="unconfined" name="/usr/lib/connman/scripts/dhclient-script" pid=639 comm="apparmor_parser" [ 1.910333] type=1400 audit(1398256254.959:5): apparmor="STATUS" operation="profile_replace" parent=638 profile="unconfined" name="/usr/lib/NetworkManager/nm-dhcp-client.action" pid=639 comm="apparmor_parser" [ 1.910337] type=1400 audit(1398256254.959:6): apparmor="STATUS" operation="profile_replace" parent=638 profile="unconfined" name="/usr/lib/connman/scripts/dhclient-script" pid=639 comm="apparmor_parser" [ 1.910454] type=1400 audit(1398256254.959:7): apparmor="STATUS" operation="profile_replace" parent=638 profile="unconfined" name="/usr/lib/connman/scripts/dhclient-script" pid=639 comm="apparmor_parser" [ 1.913910] type=1400 audit(1398256254.963:8): apparmor="STATUS" operation="profile_load" parent=638 profile="unconfined" name="/usr/sbin/ntpd" pid=641 comm="apparmor_parser" [ 2.628451] type=1400 audit(1398256255.679:9): apparmor="STATUS" operation="profile_replace" parent=1156 profile="unconfined" name="/sbin/dhclient" pid=1161 comm="apparmor_parser" [ 2.628457] type=1400 audit(1398256255.679:10): apparmor="STATUS" operation="profile_replace" parent=1156 profile="unconfined" name="/usr/lib/NetworkManager/nm-dhcp-client.action" pid=1161 comm="apparmor_parser" [ 785.167761] type=1400 audit(1398257037.938:20): apparmor="DENIED" operation="mknod" parent=1 profile="/usr/sbin/named" name="/etc/bind/tmp-ftNoymKq6g" pid=12254 comm="named" requested_mask="c" denied_mask="c" fsuid=104 ouid=104 [ 785.168721] type=1400 audit(1398257037.942:21): apparmor="DENIED" operation="mknod" parent=1 profile="/usr/sbin/named" name="/etc/bind/tmp-0Cs4FEjHQ9" pid=12254 comm="named" requested_mask="c" denied_mask="c" fsuid=104 ouid=104
#7 Updated by Philippe Caseiro almost 7 years ago
- % Done changed from 0 to 80
Il reste des messages apparmor.
Celui qui vas poser problème est un bug ubuntu : https://bugs.launchpad.net/ubuntu/+source/apparmor/+bug/1199933
Impossible d'ajouter la "capabality" car apparmor de la connais pas.
Je n'ai pas de solution pour le moment.
#8 Updated by Joël Cuissinat almost 7 years ago
Sur Horus, je constate des problèmes d'accès à /etc/ldap/ldap.conf pour ntpd et mysqld :
[704336.139639] type=1400 audit(1398257936.577:488): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/mysqld" name="/etc/ldap/ldap.conf" pid=9786 comm="mysqld" requested_mask="r" denied_mask="r" fsuid=0 ouid=0 [704354.582334] type=1400 audit(1398257955.021:489): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/ntpd" name="/etc/ldap/ldap.conf" pid=10459 comm="ntpd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
#9 Updated by Philippe Caseiro almost 7 years ago
Problème (instance et reconfigure) sur shynx suite à la mise à jour :
INSTANCE => ERR : Erreur lors de l'instanciation des templates : Erreur: Utilisation d'une variable non existante dans le template de /etc/apparmor.d/local/usr.sbin.named : u'dns_master_eth1' Erreur: Utilisation d'une variable non existante dans le template de /etc/apparmor.d/local/usr.sbin.named : u'dns_master_eth1'
#10 Updated by Philippe Caseiro almost 7 years ago
- Status changed from En attente d'informations to Résolu
Le dernier message est celui de CUPS qui cherche a utiliser une capa que apparmor ne connais pas.
Ce problème existe chez ubuntu et ils n'ont pas l'intention de faire quelque chose.
Cela ce produit quand on utilise des noyaux récents sur une LTS 12.04.
#11 Updated by Philippe Caseiro almost 7 years ago
- Assigned To set to Philippe Caseiro
- % Done changed from 80 to 100
#12 Updated by Emmanuel GARETTE almost 7 years ago
- Status changed from Résolu to Fermé
Je n'ai que des messages concernant CUPS :
root@scribe:~# dmesg |grep DENIED [ 784.326534] type=1400 audit(1398669507.318:34): apparmor="DENIED" operation="capable" parent=1 profile="/usr/sbin/cupsd" pid=640 comm="cupsd" pid=640 comm="cupsd" capability=36 capname="block_suspend" [ 4272.216524] type=1400 audit(1398672995.140:41): apparmor="DENIED" operation="capable" parent=1 profile="/usr/sbin/cupsd" pid=8455 comm="cupsd" pid=8455 comm="cupsd" capability=36 capname="block_suspend"
#13 Updated by Emmanuel GARETTE almost 7 years ago
- Status changed from Fermé to En attente d'informations
- % Done changed from 100 to 50
Il y a toujours des problèmes (quand freshclam se met à jour) :
[21333.720023] type=1400 audit(1398690056.645:50): apparmor="DENIED" operation="exec" parent=27904 profile="/usr/bin/freshclam" name="/bin/bash" pid=27905 comm="freshclam" requested_mask="x" denied_mask="x" fsuid=106 ouid=0 [21651.788996] type=1400 audit(1398690374.710:51): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/clamd" name="/etc/clamav/" pid=29082 comm="clamd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
#14 Updated by Philippe Caseiro almost 7 years ago
- Status changed from En attente d'informations to Résolu
- % Done changed from 50 to 100
Appliqué par commit eole-antivirus:37859c1efe756faf082ca2fb3bc3c040549a3c81.
#15 Updated by Philippe Caseiro almost 7 years ago
- Status changed from Résolu to Fermé
plus de problèmes avec les derniers paquets