Dlaczego w dzienniku systemowym pojawiają się komunikaty o błędach Apparmor dotyczące NTP i LDAP?

12

Na moim nowo zainstalowanym komputerze Ubuntu 12.04, z zainstalowanym ntpi slapdzainstalowanym, następujące komunikaty pojawiają się w /var/log/syslogregularnych odstępach czasu:

Feb 23 18:54:07 my-host kernel: [   24.610703] type=1400 audit(1393181647.872:15): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/ntpd" name="/etc/ldap/ldap.conf" pid=1526 comm="ntpd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0

Szukałem, ale nie mogę znaleźć żadnych informacji o tym, co może powodować te wiadomości i jak rozwiązać problem. Czy ktoś może rzucić jakieś światło na to, co to powoduje i co z tym zrobić?

ubuntu  ldap  ntp  apparmor 
FixMaker
źródło

Odpowiedzi:

14

Oto, co ci mówi:

  • apparmor="DENIED" AppArmor odrzucił coś na podstawie profilu (przejdziemy do tego później).

  • operation="open" Operacja AppArmor została odrzucona (w tym przypadku otwarcie czegoś, prawdopodobnie pliku).

  • profile="/usr/sbin/ntpd" Profil, który spowodował, że AppArmor odmawia tej akcji.

  • name="/etc/ldap/ldap.conf" Plik, który próbowano otworzyć.

  • pid=1526 PID procesu próbującego go otworzyć.

  • comm="ntpd" Polecenie / nazwa procesu, który próbował go otworzyć.

  • requested_mask="r"Co ntpd chciał zrobić z plikiem ( rdo odczytu w tym przypadku).

  • denied_mask="r" Co powstrzymało AppArmor.

Tak więc, w prostym języku angielskim, ntpd chciał odczytać plik konfiguracyjny LDAP, AppArmor pomyślał, że nie ma biznesu w pliku konfiguracyjnym LDAP, więc zablokował akcję zgodnie z profilem ntpd /usr/sbin/ntpd.

Jeśli nie majstrowałeś przy NTP, aby chcieć czytać plik konfiguracyjny LDAP i nie majstrowałeś przy profilu AppArmor NTP, a to nie powoduje problemów, nie musisz podejmować żadnych działań.

Dlaczego AppArmor jest tam nawet na pierwszym miejscu? Głównym celem AppArmor jest uniemożliwienie zagrożonym aplikacjom / procesom robienia rzeczy, których nie powinny.

Seth
źródło
Dzięki za kompleksową odpowiedź. Nie dotknąłem NTP, oprócz apt-gettego. Masz pomysł, jak mogę powstrzymać NTP przed odczytaniem konfiguracji LDAP i wyświetlaniem komunikatów o błędach w dzienniku?
FixMaker
@Lorax Jestem pewien, że jedynym sposobem na zatrzymanie wiadomości byłoby wyłączenie profilu ntpd w AppArmor, co nie jest dobrym pomysłem. To nie jest problem, więc nie martwiłbym się tym. Możesz też powiedzieć AppArmor, aby logował się inaczej.
Seth
0

Wydaje się, że jest to prosty problem z uprawnieniami, przypisanie odpowiedniego uprawnienia / własności rozwiąże ten problem.

Mar 15 12:15:45 user-sys kernel: [  673.423996] audit: type=1400 audit(1552632345.954:91): apparmor="DENIED" operation="open" profile="snap.firefox.firefox" name="/home/path/path1/file.html" pid=4949 comm=46532042726F6B65722035313639 requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

Naprawiono to za pomocą polecenia chown:

na przykład: chown user:user file.html

Wcześniej -rwxrwxrwx 1 root root 37K Mar 14 20:47 file.htmlinterfejs Firefox wyświetla poniższe ostrzeżenie, mogą to być ograniczenia przeglądarki Firefox, ponieważ działa ona w przeglądarce Chromium. 

Access to the file was denied
The file at /home/path/path1/file.html is not readable.
It may have been removed, moved, or file permissions may be preventing access."
Anto George
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.