Чому я отримую повідомлення про помилки apparmor у системі про NTP та LDAP?

12

На моїй щойно встановленій машині Ubuntu 12.04 із встановленими ntpта slapdвстановленими повідомленнями /var/log/syslogчерез регулярні проміжки часу з’являються такі повідомлення :

Feb 23 18:54:07 my-host kernel: [   24.610703] type=1400 audit(1393181647.872:15): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/ntpd" name="/etc/ldap/ldap.conf" pid=1526 comm="ntpd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0

Я шукав, але не можу знайти жодної інформації про те, що може спричинити ці повідомлення та як вирішити проблему. Чи може хтось пролити будь-яке світло на те, що викликає це, і що з цим робити?

ubuntu  ldap  ntp  apparmor 
FixMaker
джерело

Відповіді:

14

Це те, що вам говорить:

  • apparmor="DENIED" AppArmor заборонив щось на основі профілю (про це ми підемо пізніше).

  • operation="open" Операція AppArmor спростована (у цьому випадку відкривається щось, напевно, файл).

  • profile="/usr/sbin/ntpd" Профіль, який зробив AppArmor, заперечує цю дію.

  • name="/etc/ldap/ldap.conf" Файл, який щось намагався відкрити.

  • pid=1526 PID процесу, який намагається його відкрити.

  • comm="ntpd" Команда / назва процесу, який намагався її відкрити.

  • requested_mask="r"Що ntpd хотів зробити з файлом ( rдля читання в цьому випадку).

  • denied_mask="r" Що AppArmor заважало це робити.

Так, простою англійською мовою ntpd хотів прочитати конфігураційний файл LDAP, AppArmor подумав, що у конфігураційному файлі LDAP немає жодної справи, тому заблокував дію відповідно до профілю ntpd /usr/sbin/ntpd.

Якщо ви не мали стосунку з NTP, щоб змусити його читати конфігураційний файл LDAP, і ви не займалися тим, що використовує профіль AppArmor NTP, і це не спричиняє проблем, вам не потрібно буде робити жодних дій.

Чому AppArmor навіть там на першому місці? Основна мета AppArmor - не допустити компрометованих додатків / процесів робити те, чого вони не повинні.

Сет
джерело
Дякую за всебічну відповідь. Я не торкнувся НТП, окрім apt-getтого, що його не роблю . Будь-яка ідея, як я можу зупинити NTP, намагаючись прочитати конфігурацію LDAP та створити повідомлення про помилки в журналі?
FixMaker
@Lorax Я впевнений, що єдиним способом зупинити повідомлення буде відключити профіль ntpd в AppArmor, що не є хорошою ідеєю. Це не проблема, тому я б не переживав про це. Або ви можете сказати AppArmor, щоб реєструвати речі по-іншому.
Сет
0

Здається, це проста проблема з дозволом, якщо призначити правильний дозвіл / право власності вирішить цю проблему.

Mar 15 12:15:45 user-sys kernel: [  673.423996] audit: type=1400 audit(1552632345.954:91): apparmor="DENIED" operation="open" profile="snap.firefox.firefox" name="/home/path/path1/file.html" pid=4949 comm=46532042726F6B65722035313639 requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

Виправлено це командою chown:

наприклад: chown user:user file.html

Перш ніж це було -rwxrwxrwx 1 root root 37K Mar 14 20:47 file.html, тому інтерфейс Firefox показує наведене нижче попередження, це можуть бути обмеження браузера Firefox, оскільки він працює в браузері Chromium. 

Access to the file was denied
The file at /home/path/path1/file.html is not readable.
It may have been removed, moved, or file permissions may be preventing access."
Анто Джордж
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.