Ao fazer login com SSSD configurado em LDAP, o syslog fica muito barulhento com mensagens de apparmor. Isso é um tanto irritante ao verificar os logs em busca de informações valiosas.
Talvez alguém já tenha resolvido isso e possa facilitar a vida compartilhando sua solução.
Obrigado.
Responder1
Também estou recebendo várias mensagens dmesgrelacionadas a sssd, depois de configurar recentemente a associação ao domínio.
Mesmo que as mensagens estivessem relacionadas à instalação/configuração sssd, tenho quase certeza de que as mensagens eram realmente de apparmor, já que tentei ajustar debug_level, /etc/sssd/sssd.confo que só teve efeito em /var/log/sssd/sssd.confesystemctl status sssd.service
Exemplo:
# journalctl --reverse | grep sssd
. . .
Jan 27 13:50:04 chubbychipmunk.webtool.space audit[39674]:
AVC apparmor="ALLOWED" operation="open"
profile="/usr/sbin/sssd//null-/usr/libexec/sssd/sssd_be//null-/usr/bin/nsupdate"
name="/usr/lib/x86_64-linux-gnu/libirs.so.1601.0.0"
pid=39674
comm="nsupdate"
requested_mask="r"
denied_mask="r"
fsuid=0 ouid=0
. . .
Não sou apparmorespecialista, mas por meio desse processo aprendi alguns utilitários que parecem ter ajudado dmesga diminuir o ruído.
Primeiro instalei o apparmor-utils, que possui o aa-logprofutilitário:
De aa-logprof(8):
A execução de aa-logprof verificará o arquivo de log e, se houver novos eventos do AppArmor que não sejam cobertos pelo conjunto de perfis existente, o usuário receberá sugestões de modificações para aumentar o perfil.
% sudo apt install -y apparmor-utils
Então executei aa-logprofcomo root e obtive algo assim:
% sudo aa-logprof
Updating AppArmor profiles in /etc/apparmor.d.
Reading log entries from /var/log/audit/audit.log.
WARNING: Ignoring exec event in /usr/sbin/sssd//null-/usr/libexec/sssd/sssd_be, nested profiles are not supported yet.
Profile: /usr/sbin/sssd
Execute: /usr/libexec/sssd/ldap_child
Severity: unknown
(I)nherit / (C)hild / (P)rofile / (N)amed / (U)nconfined / (X) ix On / (D)eny / Abo(r)t / (F)inish
Eu costumava (I)nheritusar aqui o mesmo perfil do sssd. Então eu consegui algo assim:
Complain-mode changes:
Enforce-mode changes:
= Changed Local Profiles =
The following local profiles were changed. Would you like to save them?
[1 - /usr/sbin/sssd]
(S)ave Changes / Save Selec(t)ed Profile / [(V)iew Changes] / View Changes b/w (C)lean profiles / Abo(r)t
Cliquei spara salvar o perfil e sair, o que deve dar algo assim:
Writing updated profile for /usr/sbin/sssd.
Na primeira vez que atualizei o perfil, havia vários processos que sssdainda não estavam no perfil. Basicamente, acertei (A)llowem todos eles, pois, no meu caso, todos os processos apparmorreclamados estavam relacionados a sssd.
Depois de um tempo para verificar se funcionava, executei:
% sudo dmesg -T | tail -n 100
E vi que a última apparmormensagem que relatei sssdfoi há mais de duas horas.
Responder2
Consegui desativá-lo executando:
sudo ln -s /etc/apparmor.d/usr.sbin.sssd /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.sbin.sssd
Fonte:https://bgstack15.wordpress.com/2020/12/03/disable-apparmor-for-sssd/