เหตุใดฉันจึงได้รับข้อความแสดงข้อผิดพลาดของ apparmor ใน syslog เกี่ยวกับ NTP และ LDAP

12

บนเครื่อง Ubuntu 12.04 ที่เพิ่งติดตั้งใหม่ของฉันพร้อมntpและslapdติดตั้งข้อความต่อไปนี้จะปรากฏขึ้น/var/log/syslogตามช่วงเวลาปกติ:

Feb 23 18:54:07 my-host kernel: [   24.610703] type=1400 audit(1393181647.872:15): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/ntpd" name="/etc/ldap/ldap.conf" pid=1526 comm="ntpd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0

ฉันค้นหาแล้ว แต่ไม่พบข้อมูลใด ๆ เกี่ยวกับสิ่งที่อาจเป็นสาเหตุของข้อความเหล่านี้และวิธีแก้ไขปัญหา ใครสามารถทำให้กระจ่างเกี่ยวกับสิ่งที่ทำให้เกิดสิ่งนี้และจะทำอย่างไรกับมัน?

ubuntu  ldap  ntp  apparmor 
FixMaker
แหล่งที่มา

คำตอบ:

14

นี่คือสิ่งที่มันบอกคุณ:

  • apparmor="DENIED" AppArmor ปฏิเสธบางสิ่งที่ขึ้นอยู่กับโปรไฟล์ (เราจะไปถึงในภายหลัง)

  • operation="open" การดำเนินการ AppArmor ถูกปฏิเสธ (ในกรณีนี้เปิดบางสิ่งบางอย่างอาจเป็นไฟล์)

  • profile="/usr/sbin/ntpd" โปรไฟล์ที่ทำให้ AppArmor ปฏิเสธการกระทำนี้

  • name="/etc/ldap/ldap.conf" ไฟล์ที่มีบางสิ่งพยายามเปิด

  • pid=1526 PID ของกระบวนการพยายามเปิด

  • comm="ntpd" คำสั่ง / ชื่อของกระบวนการที่พยายามเปิด

  • requested_mask="r"ntpd ต้องการทำอะไรกับไฟล์ ( rสำหรับอ่านในกรณีนี้)

  • denied_mask="r" สิ่งที่ AppArmor หยุดไม่ให้ทำ

ดังนั้นในภาษาอังกฤษธรรมดา ntpd อยากจะอ่านไฟล์ config LDAP ของ AppArmor คิดว่ามีธุรกิจไม่ในไฟล์ config ของ LDAP จึงปิดกั้นการดำเนินการให้เป็นไปตามรายละเอียด ntpd /usr/sbin/ntpdสำหรับ

หากคุณไม่ได้ทำการแก้ไขด้วย NTP เพื่อให้ต้องการอ่านไฟล์กำหนดค่าของ LDAP และไม่ได้แก้ไขด้วยโปรไฟล์ AppArmor ของ NTP และนี่ไม่ได้ทำให้คุณเกิดปัญหาคุณไม่จำเป็นต้องดำเนินการใด ๆ

ทำไม AppArmor ถึงมีมาตั้งแต่แรก? วัตถุประสงค์หลักของ AppArmor คือการป้องกันไม่ให้แอพ / กระบวนการที่ถูกบุกรุกทำสิ่งที่ไม่ควรทำ

เซท
แหล่งที่มา
ขอบคุณสำหรับการตอบสนองที่ครอบคลุม ฉันไม่ได้สัมผัส NTP นอกเหนือจากการapt-getใช้งาน มีความคิดใดที่ฉันสามารถหยุด NTP พยายามอ่านการกำหนดค่า LDAP และสร้างข้อความแสดงข้อผิดพลาดในบันทึกได้
FixMaker
@ Lorax ฉันค่อนข้างมั่นใจว่าวิธีเดียวที่จะหยุดข้อความได้คือการปิดการใช้งานโปรไฟล์ของ ntpd ใน AppArmor ซึ่งไม่ใช่ความคิดที่ดี มันไม่ใช่ปัญหาดังนั้นฉันจะไม่กังวลเกี่ยวกับมัน หรือคุณสามารถบอกให้ AppArmor บันทึกสิ่งต่าง ๆ
เซท
0

ดูเหมือนว่านี่เป็นปัญหาการอนุญาตง่ายๆโดยการกำหนดสิทธิ์ / ความเป็นเจ้าของที่ถูกต้องจะช่วยแก้ปัญหานี้ได้

Mar 15 12:15:45 user-sys kernel: [  673.423996] audit: type=1400 audit(1552632345.954:91): apparmor="DENIED" operation="open" profile="snap.firefox.firefox" name="/home/path/path1/file.html" pid=4949 comm=46532042726F6B65722035313639 requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

แก้ไขสิ่งนี้ด้วยคำสั่ง chown:

เช่น: chown user:user file.html

ก่อนหน้านี้-rwxrwxrwx 1 root root 37K Mar 14 20:47 file.htmlดังนั้นอินเทอร์เฟซ Firefox จะแสดงคำเตือนด้านล่างนี่อาจเป็นข้อ จำกัด ของเบราว์เซอร์ Firefox เนื่องจากสามารถทำงานได้บนเบราว์เซอร์ Chromium 

Access to the file was denied
The file at /home/path/path1/file.html is not readable.
It may have been removed, moved, or file permissions may be preventing access."
Anto George
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.