Lorsque l'on se connecte avec SSSD configuré par rapport à LDAP, syslog devient très bruyant avec des messages d'alarme. Cela est quelque peu gênant lorsqu'on analyse les journaux à la recherche d'informations précieuses.
Peut-être que quelqu'un a déjà résolu ce problème et peut vous faciliter la vie en partageant sa solution.
Merci.
Je reçois également plusieurs messages dans dmesg en rapport avec sssd après avoir récemment configuré l'appartenance à un domaine.
Même si les messages étaient liés à l'installation/configuration sssd Je suis sûr que les messages venaient en fait de apparmor depuis que j'ai essayé d'ajuster debug_level en /etc/sssd/sssd.conf qui n'a eu d'effet que sur /var/log/sssd/sssd.conf y systemctl status sssd.service
Exemple :
# journalctl --reverse | grep sssd
. . .
Jan 27 13:50:04 chubbychipmunk.webtool.space audit[39674]:
AVC apparmor="ALLOWED" operation="open"
profile="/usr/sbin/sssd//null-/usr/libexec/sssd/sssd_be//null-/usr/bin/nsupdate"
name="/usr/lib/x86_64-linux-gnu/libirs.so.1601.0.0"
pid=39674
comm="nsupdate"
requested_mask="r"
denied_mask="r"
fsuid=0 ouid=0
. . . Je ne suis pas apparmor expert, mais à travers ce processus, j'ai appris l'existence de certains utilitaires qui semblent avoir aidé dmesg être moins bruyants.
D'abord, j'ai installé apparmor-utils qui a le aa-logprof utilitaire :
D'après aa-logprof(8) :
L'exécution de aa-logprof analysera le fichier journal et vérifiera s'il y a de nouveaux événements AppArmor. qui ne sont pas couverts par le profil existant, l'utilisateur sera invité à faire des modifications suggérées pour augmenter le profil.
% sudo apt install -y apparmor-utilsEnsuite, j'ai couru aa-logprof en tant que root et j'ai obtenu quelque chose comme ça :
% sudo aa-logprof
Updating AppArmor profiles in /etc/apparmor.d.
Reading log entries from /var/log/audit/audit.log.
WARNING: Ignoring exec event in /usr/sbin/sssd//null-/usr/libexec/sssd/sssd_be, nested profiles are not supported yet.
Profile: /usr/sbin/sssd
Execute: /usr/libexec/sssd/ldap_child
Severity: unknown
(I)nherit / (C)hild / (P)rofile / (N)amed / (U)nconfined / (X) ix On / (D)eny / Abo(r)t / (F)inishJ'ai utilisé (I)nherit ici pour utiliser le même profil que sssd . Puis j'ai obtenu quelque chose comme ça :
Complain-mode changes:
Enforce-mode changes:
= Changed Local Profiles =
The following local profiles were changed. Would you like to save them?
[1 - /usr/sbin/sssd]
(S)ave Changes / Save Selec(t)ed Profile / [(V)iew Changes] / View Changes b/w (C)lean profiles / Abo(r)tJ'ai frappé s pour enregistrer le profil, et quittez, ce qui devrait vous donner quelque chose comme ceci :
Writing updated profile for /usr/sbin/sssd.La première fois que j'ai mis à jour le profil, il y avait plusieurs processus qui n'étaient pas dans les sssd profil pour le moment. En gros, j'ai juste appuyé sur (A)llow pour chacun d'entre eux puisque, dans mon cas, tous les processus apparmor dont il se plaignait étaient liées à sssd .
Après un moment pour vérifier et voir si ça marchait, j'ai couru :
% sudo dmesg -T | tail -n 100 Et j'ai vu que le dernier apparmor message que j'ai eu concernant sssd c'était il y a plus de deux heures.
J'ai pu le désactiver en exécutant :
sudo ln -s /etc/apparmor.d/usr.sbin.sssd /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.sbin.sssdFuente: https://bgstack15.wordpress.com/2020/12/03/disable-apparmor-for-sssd/
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
