NTP 및 LDAP에 대한 syslog에 apparmor 오류 메시지가 표시되는 이유는 무엇입니까?


12

내 새로 설치된 우분투 12.04 시스템에서, ntpslapd설치, 다음과 같은 메시지가 나타납니다 /var/log/syslog일정한 간격 :

Feb 23 18:54:07 my-host kernel: [   24.610703] type=1400 audit(1393181647.872:15): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/ntpd" name="/etc/ldap/ldap.conf" pid=1526 comm="ntpd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0

검색했지만 이러한 메시지의 원인 및 문제 해결 방법에 대한 정보를 찾을 수 없습니다. 누구나이 문제의 원인과 조치에 대해 밝힐 수 있습니까?

답변:


14

이것이 당신에게 말하는 것입니다 :

  • apparmor="DENIED" AppArmor는 프로필을 기반으로 무언가를 거부했습니다 (나중에 설명하겠습니다).

  • operation="open" AppArmor 작업이 거부되었습니다 (이 경우 파일 열기).

  • profile="/usr/sbin/ntpd" AppArmor를 만든 프로필은이 작업을 거부합니다.

  • name="/etc/ldap/ldap.conf" 무언가 열려고하는 파일.

  • pid=1526 열려고하는 프로세스의 PID입니다.

  • comm="ntpd" 열려고 시도한 프로세스의 명령 / 이름.

  • requested_mask="r"ntpd가 파일과 관련하여 수행 한 작업 ( r이 경우 읽기 위해).

  • denied_mask="r" AppArmor가 수행을 중단 한 것.

따라서 일반 영어로 ntpd는 LDAP의 구성 파일을 읽기를 원했고 AppArmor는 LDAP의 구성 파일에 비즈니스가 없다고 생각했기 때문에에 대한 ntpd의 프로필에 따라 작업을 차단했습니다 /usr/sbin/ntpd.

NTP를 사용하여 LDAP의 구성 파일을 읽으려고하지 않았으며 NTP의 AppArmor 프로파일 을 사용 하지 않았는데도 문제가 발생하지 않는다면 아무런 조치를 취할 필요가 없습니다.

AppArmor가 처음부터 왜 존재합니까? AppArmor의 주요 목적은 손상된 앱 / 프로세스가하지 말아야 할 작업을 수행하지 못하게하는 것입니다.


포괄적 인 답변에 감사드립니다. NTP를 건드리지 않고 NTP를 건드리지 않았습니다 apt-get. NTP가 LDAP 구성을 읽으려고 시도하고 로그에서 오류 메시지를 생성하지 못하게하는 방법을 알고 있습니까?
FixMaker

@Lorax 나는 메시지를 막을 수있는 유일한 방법은 AppArmor에서 ntpd의 프로필을 비활성화하는 것이라고 확신합니다. 문제가되지 않으므로 걱정하지 않아도됩니다. 또는 AppArmor에 사물을 다르게 기록하도록 지시 할 수 있습니다.
세스

0

올바른 권한 / 소유권을 할당하면이 문제가 해결되는 간단한 권한 문제인 것 같습니다.

Mar 15 12:15:45 user-sys kernel: [  673.423996] audit: type=1400 audit(1552632345.954:91): apparmor="DENIED" operation="open" profile="snap.firefox.firefox" name="/home/path/path1/file.html" pid=4949 comm=46532042726F6B65722035313639 requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

chown 명령으로 이것을 고쳤습니다.

예 : chown user:user file.html

이전에는 -rwxrwxrwx 1 root root 37K Mar 14 20:47 file.htmlFirefox 인터페이스에 아래와 같은 경고가 표시됩니다. Chromium 브라우저에서 작동하므로 Firefox 브라우저 제한 사항 일 수 있습니다.

Access to the file was denied
The file at /home/path/path1/file.html is not readable.
It may have been removed, moved, or file permissions may be preventing access."
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.