Wenn Sie sich mit SSSD anmelden, das gegen LDAP konfiguriert ist, wird das Syslog mit Apparmor-Meldungen sehr voll. Dies ist beim Durchsuchen der Protokolle nach wertvollen Informationen etwas ärgerlich.
Vielleicht hat jemand dieses Problem bereits gelöst und kann Ihnen das Leben leichter machen, indem er seine Lösung mitteilt.
Danke.
Antwort1
Ich erhalte außerdem mehrere Nachrichten in dmesgBezug auf sssd, nachdem ich vor Kurzem die Domänenmitgliedschaft konfiguriert habe.
Obwohl sich die Nachrichten auf die Installation/Konfiguration bezogen sssd, bin ich ziemlich sicher, dass die Nachrichten tatsächlich von stammten apparmor, da ich versucht habe, Anpassungen debug_levelin vorzunehmen, was sich nur auf und /etc/sssd/sssd.confauswirkte/var/log/sssd/sssd.confsystemctl status sssd.service
Beispiel:
# journalctl --reverse | grep sssd
. . .
Jan 27 13:50:04 chubbychipmunk.webtool.space audit[39674]:
AVC apparmor="ALLOWED" operation="open"
profile="/usr/sbin/sssd//null-/usr/libexec/sssd/sssd_be//null-/usr/bin/nsupdate"
name="/usr/lib/x86_64-linux-gnu/libirs.so.1601.0.0"
pid=39674
comm="nsupdate"
requested_mask="r"
denied_mask="r"
fsuid=0 ouid=0
. . .
Ich bin kein apparmorExperte, habe dabei aber einige Dienstprogramme kennengelernt, die offenbar dabei geholfen haben, dmesgden Lärm zu reduzieren.
Zuerst habe ich installiert apparmor-utils, das folgendes aa-logprofDienstprogramm enthält:
Aus aa-logprof(8):
Durch Ausführen von aa-logprof wird die Protokolldatei gescannt. Wenn neue AppArmor-Ereignisse vorhanden sind, die nicht vom vorhandenen Profilsatz abgedeckt werden, werden dem Benutzer Änderungen zur Erweiterung des Profils vorgeschlagen.
% sudo apt install -y apparmor-utils
Dann habe ich es aa-logprofals Root ausgeführt und das Ergebnis war etwa wie folgt:
% sudo aa-logprof
Updating AppArmor profiles in /etc/apparmor.d.
Reading log entries from /var/log/audit/audit.log.
WARNING: Ignoring exec event in /usr/sbin/sssd//null-/usr/libexec/sssd/sssd_be, nested profiles are not supported yet.
Profile: /usr/sbin/sssd
Execute: /usr/libexec/sssd/ldap_child
Severity: unknown
(I)nherit / (C)hild / (P)rofile / (N)amed / (U)nconfined / (X) ix On / (D)eny / Abo(r)t / (F)inish
Ich habe (I)nherithier dasselbe Profil wie verwendet sssd. Dann habe ich so etwas bekommen:
Complain-mode changes:
Enforce-mode changes:
= Changed Local Profiles =
The following local profiles were changed. Would you like to save them?
[1 - /usr/sbin/sssd]
(S)ave Changes / Save Selec(t)ed Profile / [(V)iew Changes] / View Changes b/w (C)lean profiles / Abo(r)t
Ich klicke sauf „Profil speichern“ und „Beenden“. Das Ergebnis sollte etwa so aussehen:
Writing updated profile for /usr/sbin/sssd.
Als ich das Profil zum ersten Mal aktualisiert habe, gab es mehrere Prozesse, die sssdnoch nicht im Profil waren. Ich habe im Grunde einfach (A)llowauf alle geklickt, da in meinem Fall alle Prozesse, apparmorüber die ich mich beschwerte, mit zusammenhingen sssd.
Nachdem ich eine Weile geprüft hatte, ob es funktionierte, führte ich Folgendes aus:
% sudo dmesg -T | tail -n 100
Und sah, dass die letzte apparmorNachricht, die ich erhalten hatte, sssdüber zwei Stunden her war.
Antwort2
Ich konnte es deaktivieren, indem ich Folgendes ausführte:
sudo ln -s /etc/apparmor.d/usr.sbin.sssd /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.sbin.sssd
Quelle:https://bgstack15.wordpress.com/2020/12/03/disable-apparmor-for-sssd/