SSSD と LDAP の組み合わせにより、syslog で AppArmor のノイズが大量に発生する

tag-icon tag-icon apparmor sssd
SSSD と LDAP の組み合わせにより、syslog で AppArmor のノイズが大量に発生する

LDAP に対して設定された SSSD でログインすると、syslog は apparmor メッセージで非常にノイズが多くなります。これは、ログをスキャンして貴重な情報を探すときにやや煩わしいものです。

おそらく誰かがすでにこの問題を解決しており、その解決策を共有することで生活が楽になるかもしれません。

ありがとう。

答え1

また、最近ドメイン メンバーシップを構成した後、dmesgに関連するいくつかのメッセージも受信しています。sssd

メッセージは のインストール/設定に関連するものでしたが、 で調整を試みたところ、 と にのみ影響があったため、実際にsssdは からのメッセージであると確信しています。apparmordebug_level/etc/sssd/sssd.conf/var/log/sssd/sssd.confsystemctl status sssd.service

例:

# journalctl --reverse | grep sssd

. . . 
Jan 27 13:50:04 chubbychipmunk.webtool.space audit[39674]: 
AVC apparmor="ALLOWED" operation="open" 
profile="/usr/sbin/sssd//null-/usr/libexec/sssd/sssd_be//null-/usr/bin/nsupdate"
name="/usr/lib/x86_64-linux-gnu/libirs.so.1601.0.0" 
pid=39674 
comm="nsupdate" 
requested_mask="r" 
denied_mask="r" 
fsuid=0 ouid=0
. . .

私は専門家ではありませんが、このプロセスを通じて、騒音を軽減するのにapparmor役立つと思われるいくつかのユーティリティについて学びました。dmesg

まず、次のユーティリティapparmor-utilsを備えた をインストールしましたaa-logprof

aa-logprof(8)より:

aa-logprof を実行するとログ ファイルがスキャンされ、既存のプロファイル セットでカバーされていない新しい AppArmor イベントがある場合は、プロファイルを拡張するための変更を提案するプロンプトがユーザーに表示されます。

% sudo apt install -y apparmor-utils

次に、root として実行しaa-logprof、次のような結果を得ました。

% sudo aa-logprof

Updating AppArmor profiles in /etc/apparmor.d.
Reading log entries from /var/log/audit/audit.log.

WARNING: Ignoring exec event in /usr/sbin/sssd//null-/usr/libexec/sssd/sssd_be, nested profiles are not supported yet.

Profile:  /usr/sbin/sssd
Execute:  /usr/libexec/sssd/ldap_child
Severity: unknown

(I)nherit / (C)hild / (P)rofile / (N)amed / (U)nconfined / (X) ix On / (D)eny / Abo(r)t / (F)inish

(I)nheritここでは と同じプロファイルを使用しましたsssd。すると、次のようになりました:

Complain-mode changes:
Enforce-mode changes:

= Changed Local Profiles =

The following local profiles were changed. Would you like to save them?

 [1 - /usr/sbin/sssd]
(S)ave Changes / Save Selec(t)ed Profile / [(V)iew Changes] / View Changes b/w (C)lean profiles / Abo(r)t

sプロファイルを保存して終了すると、次のような画面が表示されます。

Writing updated profile for /usr/sbin/sssd.

初めてプロファイルを更新したとき、プロファイルにsssdまだ含まれていないプロセスがいくつかありました。(A)llow私の場合、apparmor問題となっているプロセスはすべて に関連していたので、基本的にそれらすべてを実行しましたsssd

しばらくして、それが機能するかどうかを確認した後、次を実行しました。

% sudo dmesg -T | tail -n 100

そして、私が最後apparmorに関係したメッセージがsssd2 時間以上前のものであることに気づきました。

答え2

次のコマンドを実行することで無効にできました:

sudo ln -s /etc/apparmor.d/usr.sbin.sssd /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.sbin.sssd

ソース:https://bgstack15.wordpress.com/2020/12/03/disable-apparmor-for-sssd/

関連情報