LDAP가 포함된 SSSD는 syslog에서 의류의 소음을 매우 크게 만듭니다.

tag-icon tag-icon apparmor sssd
LDAP가 포함된 SSSD는 syslog에서 의류의 소음을 매우 크게 만듭니다.

LDAP에 대해 구성된 SSSD로 로그인하면 syslog는 의류 메시지로 인해 매우 시끄러워집니다. 이는 귀중한 정보를 찾기 위해 로그를 스캔할 때 다소 성가신 일입니다.

누군가 이미 이 문제를 해결하여 솔루션을 공유하면 삶이 더 쉬워질 수도 있습니다.

감사해요.

답변1

또한 최근 도메인 멤버십을 구성한 후 와(과 dmesg) 관련된 여러 메시지를 받았습니다 .sssd

메시지가 설치/구성과 관련되어 있더라도 에서 조정을 시도했기 때문에 메시지가 실제로 에서 온 sssd것이라고 확신합니다. 이는 및 에만 영향을 미쳤습니다 .apparmordebug_level/etc/sssd/sssd.conf/var/log/sssd/sssd.confsystemctl status sssd.service

예:

# journalctl --reverse | grep sssd

. . . 
Jan 27 13:50:04 chubbychipmunk.webtool.space audit[39674]: 
AVC apparmor="ALLOWED" operation="open" 
profile="/usr/sbin/sssd//null-/usr/libexec/sssd/sssd_be//null-/usr/bin/nsupdate"
name="/usr/lib/x86_64-linux-gnu/libirs.so.1601.0.0" 
pid=39674 
comm="nsupdate" 
requested_mask="r" 
denied_mask="r" 
fsuid=0 ouid=0
. . .

나는 전문가는 아니지만 이 과정을 통해 소음을 줄이는 데 apparmor도움이 된 것으로 보이는 몇 가지 유틸리티에 대해 배웠습니다 .dmesg

apparmor-utils먼저 다음과 같은 유틸리티가 있는 을 (를 ) 설치했습니다 aa-logprof.

aa-logprof(8)에서:

aa-logprof를 실행하면 로그 파일이 스캔되고 기존 프로필 세트에서 다루지 않는 새로운 AppArmor 이벤트가 있는 경우 사용자에게 프로필을 보강하기 위한 제안 수정 사항이 표시됩니다.

% sudo apt install -y apparmor-utils

그런 다음 루트로 실행하여 aa-logprof다음과 같은 결과를 얻었습니다.

% sudo aa-logprof

Updating AppArmor profiles in /etc/apparmor.d.
Reading log entries from /var/log/audit/audit.log.

WARNING: Ignoring exec event in /usr/sbin/sssd//null-/usr/libexec/sssd/sssd_be, nested profiles are not supported yet.

Profile:  /usr/sbin/sssd
Execute:  /usr/libexec/sssd/ldap_child
Severity: unknown

(I)nherit / (C)hild / (P)rofile / (N)amed / (U)nconfined / (X) ix On / (D)eny / Abo(r)t / (F)inish

나는 (I)nherit여기에서 와 동일한 프로필을 사용 했습니다 sssd. 그런 다음 나는 다음과 같은 것을 얻었습니다.

Complain-mode changes:
Enforce-mode changes:

= Changed Local Profiles =

The following local profiles were changed. Would you like to save them?

 [1 - /usr/sbin/sssd]
(S)ave Changes / Save Selec(t)ed Profile / [(V)iew Changes] / View Changes b/w (C)lean profiles / Abo(r)t

s프로필을 저장하고 종료하면 다음과 같은 내용이 표시됩니다 .

Writing updated profile for /usr/sbin/sssd.

처음 프로필을 업데이트했을 때 sssd아직 프로필에 없는 프로세스가 여러 개 있었습니다. 내 경우에는 불평하는 (A)llow모든 프로세스 가 .apparmorsssd

잠시 후 작동하는지 확인하고 다음을 실행했습니다.

% sudo dmesg -T | tail -n 100

그리고 제가 마지막 apparmor으로 언급한 메시지가 sssd두 시간도 더 전이라는 것을 확인했습니다.

답변2

다음을 실행하여 비활성화할 수 있었습니다.

sudo ln -s /etc/apparmor.d/usr.sbin.sssd /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.sbin.sssd

원천:https://bgstack15.wordpress.com/2020/12/03/disable-apparmor-for-sssd/

관련 정보