4 votes

Raihanur avatar

AppArmor - racine : "Vous n'avez pas assez de privilèges pour lire le jeu de profils."

Demandé el 7 de Janvier, 2013
Quand la question a-t-elle été
2456 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'essaie d'utiliser AppArmor sur un serveur Xen hébergé à distance avec un noyau personnalisé.

AppArmor semble fonctionner, mais pas correctement. Par exemple, si j'exécute la commande suivante en tant que root :

# aa-status
apparmor module is loaded.
You do not have enough privilege to read the profile set.

Toute idée sur ce qui se passe serait utile. Merci.

Voici mes options de noyau :

# grep -i APPARMOR /boot/config-3.6.11-xen 
CONFIG_SECURITY_APPARMOR=y
CONFIG_SECURITY_APPARMOR_BOOTPARAM_VALUE=1
CONFIG_DEFAULT_SECURITY_APPARMOR=y
CONFIG_DEFAULT_SECURITY="apparmor"

dmesg montre que AppArmor a démarré :

# dmesg | grep AppArmor
AppArmor: AppArmor initialized
AppArmor: AppArmor Filesystem Enabled

Les crochets d'AppArmor dans /sys et leurs valeurs correspondantes :

(Note : pas de /sys/kernel/security/apparmor/profiles)

# for x in $(find /sys -type f | grep apparmor) ; do echo -n "$x - "; cat $x ; done
/sys/kernel/security/apparmor/features/rlimit/mask - cpu fsize data stack core rss nproc nofile memlock as locks sigpending msgqueue nice rtprio rttime
/sys/kernel/security/apparmor/features/capability - 0xffffff
/sys/kernel/security/apparmor/features/file/mask - create read write exec append mmap_exec link lock
/sys/kernel/security/apparmor/features/domain/change_profile - yes
/sys/kernel/security/apparmor/features/domain/change_onexec - yes
/sys/kernel/security/apparmor/features/domain/change_hatv - yes
/sys/kernel/security/apparmor/features/domain/change_hat - yes
/sys/kernel/security/apparmor/.remove - cat: /sys/kernel/security/apparmor/.remove: Invalid argument
/sys/kernel/security/apparmor/.replace - cat: /sys/kernel/security/apparmor/.replace: Invalid argument
/sys/kernel/security/apparmor/.load - cat: /sys/kernel/security/apparmor/.load: Invalid argument
/sys/module/apparmor/parameters/mode - enforce
/sys/module/apparmor/parameters/audit - normal
/sys/module/apparmor/parameters/debug - N
/sys/module/apparmor/parameters/paranoid_load - Y
/sys/module/apparmor/parameters/enabled - Y
/sys/module/apparmor/parameters/path_max - 8192
/sys/module/apparmor/parameters/logsyscall - N
/sys/module/apparmor/parameters/lock_policy - N
/sys/module/apparmor/parameters/audit_header - Y

Les paquets de l'utilisateur que j'ai installés :

# dpkg -l apparmor*
Version                                         Description
+++-===============================================-===============================================-==============================================================================================================
ii  apparmor                                        2.7.102-0ubuntu3.7                              User-space parser utility for AppArmor
ii  apparmor-notify                                 2.7.102-0ubuntu3.7                              AppArmor notification system
ii  apparmor-profiles                               2.7.102-0ubuntu3.7                              Profiles for AppArmor Security policies
ii  apparmor-utils                                  2.7.102-0ubuntu3.7                              Utilities for controlling AppArmor

Encore une fois, si quelqu'un a une idée de la raison pour laquelle il ne fonctionne pas correctement, y compris une erreur de l'utilisateur, faites-le moi savoir. D'après ce que je peux voir, il semble que devrait travailler.

Merci encore pour tout conseil.

Demandé el 7 de Janvier, 2013 par Raihanur

Réponse

Trop de publicités?

2voto

Spoofy avatar
Spoofy Points 21

J'ai eu le même problème ;)

  • Il suffit de télécharger un paquet d'apparmor depuis : http://launchpad.net/apparmor/2.7/2.7.2/+download/apparmor-2.7.2.tar.gz

  • naviguer vers : /apparmor-2.7.2/kernel-patches/3.1 < Ici vous avez des patches pour le noyau. Ne vous inquiétez pas - ils fonctionnent avec la version 3.2.x ;)

  • patcher le noyau, sélectionner l'option "Enable AppArmor 2.4 compatability" (par exemple à partir de make nconfig/make menuconfig).

  • Compilez et soyez heureux avec un apparmor qui fonctionne parfaitement.

J'espère que cela vous aidera !

PS. Désolé pour mon mauvais anglais - ce n'est pas ma langue maternelle :)

Répondu el 22 de Février, 2013 par Spoofy (21 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X