При входе с SSSD, настроенным на LDAP, syslog становится очень шумным из-за сообщений apparmor. Это несколько раздражает при сканировании журналов на предмет ценной информации.
Возможно, кто-то уже решил эту проблему и может облегчить жизнь, поделившись своим решением.
Спасибо.
решение1
Я также получаю несколько сообщений , dmesgсвязанных с sssd, после недавней настройки членства в домене.
Несмотря на то, что сообщения были связаны с установкой/настройкой sssd, я почти уверен, что сообщения на самом деле были от apparmor, так как я пробовал настроить debug_levelв /etc/sssd/sssd.conf, что повлияло только на /var/log/sssd/sssd.confиsystemctl status sssd.service
Пример:
# journalctl --reverse | grep sssd
. . .
Jan 27 13:50:04 chubbychipmunk.webtool.space audit[39674]:
AVC apparmor="ALLOWED" operation="open"
profile="/usr/sbin/sssd//null-/usr/libexec/sssd/sssd_be//null-/usr/bin/nsupdate"
name="/usr/lib/x86_64-linux-gnu/libirs.so.1601.0.0"
pid=39674
comm="nsupdate"
requested_mask="r"
denied_mask="r"
fsuid=0 ouid=0
. . .
Я не apparmorэксперт, но в ходе этого процесса я узнал о некоторых утилитах, которые, по-видимому, помогли dmesgснизить уровень шума.
Сначала я установил apparmor-utils, в котором есть aa-logprofутилита:
Из aa-logprof(8):
Запуск aa-logprof просканирует файл журнала, и если появятся новые события AppArmor, не охваченные существующим набором профилей, пользователю будут предложены рекомендуемые изменения для дополнения профиля.
% sudo apt install -y apparmor-utils
Затем я запустил его aa-logprofкак root и получил что-то вроде этого:
% sudo aa-logprof
Updating AppArmor profiles in /etc/apparmor.d.
Reading log entries from /var/log/audit/audit.log.
WARNING: Ignoring exec event in /usr/sbin/sssd//null-/usr/libexec/sssd/sssd_be, nested profiles are not supported yet.
Profile: /usr/sbin/sssd
Execute: /usr/libexec/sssd/ldap_child
Severity: unknown
(I)nherit / (C)hild / (P)rofile / (N)amed / (U)nconfined / (X) ix On / (D)eny / Abo(r)t / (F)inish
Я использовал (I)nheritздесь тот же профиль, что и sssd. Тогда у меня получилось что-то вроде этого:
Complain-mode changes:
Enforce-mode changes:
= Changed Local Profiles =
The following local profiles were changed. Would you like to save them?
[1 - /usr/sbin/sssd]
(S)ave Changes / Save Selec(t)ed Profile / [(V)iew Changes] / View Changes b/w (C)lean profiles / Abo(r)t
Я нажимаю sсохранить профиль и выхожу, что должно дать вам что-то вроде этого:
Writing updated profile for /usr/sbin/sssd.
В первый раз, когда я обновил профиль, там было несколько процессов, которых sssdеще не было в профиле. Я просто нажал (A)llowна все из них, так как в моем случае все процессы, apparmorна которые жаловались, были связаны с sssd.
Через некоторое время, чтобы проверить, работает ли это, я запустил:
% sudo dmesg -T | tail -n 100
И увидел, что последнее apparmorсообщение, к которому я обращался, sssdбыло более двух часов назад.
решение2
Мне удалось отключить его, выполнив:
sudo ln -s /etc/apparmor.d/usr.sbin.sssd /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.sbin.sssd
Источник:https://bgstack15.wordpress.com/2020/12/03/disable-apparmor-for-sssd/