Al iniciar sesión con SSSD configurado en LDAP, syslog se vuelve muy ruidoso con mensajes de apariencia. Esto es algo molesto al escanear los registros en busca de información valiosa.
Quizás alguien ya haya resuelto esto y pueda hacer la vida más fácil compartiendo su solución.
Gracias.
Respuesta1
También recibo varios mensajes dmesgrelacionados con sssd, después de configurar recientemente la membresía del dominio.
Aunque los mensajes estaban relacionados con la instalación/configuración sssd, estoy bastante seguro de que en realidad eran de apparmor, ya que intenté realizar ajustes debug_levelen /etc/sssd/sssd.conf, lo que solo tuvo un efecto en /var/log/sssd/sssd.confysystemctl status sssd.service
Ejemplo:
# journalctl --reverse | grep sssd
. . .
Jan 27 13:50:04 chubbychipmunk.webtool.space audit[39674]:
AVC apparmor="ALLOWED" operation="open"
profile="/usr/sbin/sssd//null-/usr/libexec/sssd/sssd_be//null-/usr/bin/nsupdate"
name="/usr/lib/x86_64-linux-gnu/libirs.so.1601.0.0"
pid=39674
comm="nsupdate"
requested_mask="r"
denied_mask="r"
fsuid=0 ouid=0
. . .
No soy apparmorun experto, pero a través de este proceso conocí algunas utilidades que parecen haber ayudado dmesga ser menos ruidosas.
Primero instalé apparmor-utils, que tiene la aa-logprofutilidad:
De aa-logprof(8):
La ejecución de aa-logprof escaneará el archivo de registro y, si hay nuevos eventos de AppArmor que no están cubiertos por el conjunto de perfiles existente, se le solicitarán al usuario modificaciones sugeridas para aumentar el perfil.
% sudo apt install -y apparmor-utils
Luego ejecuté aa-logprofcomo root y obtuve algo como esto:
% sudo aa-logprof
Updating AppArmor profiles in /etc/apparmor.d.
Reading log entries from /var/log/audit/audit.log.
WARNING: Ignoring exec event in /usr/sbin/sssd//null-/usr/libexec/sssd/sssd_be, nested profiles are not supported yet.
Profile: /usr/sbin/sssd
Execute: /usr/libexec/sssd/ldap_child
Severity: unknown
(I)nherit / (C)hild / (P)rofile / (N)amed / (U)nconfined / (X) ix On / (D)eny / Abo(r)t / (F)inish
Solía (I)nheritaquí usar el mismo perfil que sssd. Entonces obtuve algo como esto:
Complain-mode changes:
Enforce-mode changes:
= Changed Local Profiles =
The following local profiles were changed. Would you like to save them?
[1 - /usr/sbin/sssd]
(S)ave Changes / Save Selec(t)ed Profile / [(V)iew Changes] / View Changes b/w (C)lean profiles / Abo(r)t
Presiono spara guardar el perfil y salgo, lo que debería darte algo como esto:
Writing updated profile for /usr/sbin/sssd.
La primera vez que actualicé el perfil, había varios procesos que sssdaún no estaban en el perfil. Básicamente, simplemente presioné (A)llowpor todos ellos ya que, en mi caso, todos los procesos apparmorde los que me quejaba estaban relacionados con sssd.
Después de un rato para comprobar y ver si funcionaba, ejecuté:
% sudo dmesg -T | tail -n 100
Y vi que el último apparmormensaje con el que me había relacionado sssdfue hace más de dos horas.
Respuesta2
Pude desactivarlo ejecutando:
sudo ln -s /etc/apparmor.d/usr.sbin.sssd /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.sbin.sssd
Fuente:https://bgstack15.wordpress.com/2020/12/03/disable-apparmor-for-sssd/