Hláška AppArmor [vyřešeno]

[ftdolton]

Zdravím všechny v novém roce - ať nám fachaj trpaslíci!
Mám prosbu, mohl by někdo znalejší přeložit následující hlášku do jazyka mého kmene?
cat /var/log/kern.log
Jan  6 00:50:04 tisa-Extensa-5230 kernel: [20190.723094] type=1400 audit(1294271404.181:27): apparmor="DENIED" operation="open" parent=15831 profile="/sbin/dhclient3" name="/var/lib/wicd/dhclient.conf" pid=15863 comm="dhclient" requested_mask="r" denied_mask="r" fsuid=0 ouid=0

Díky

[daysleeper]

k apparmor
http://wiki.ubuntu.cz/AppArmor

vysvetleni k logu
http://wiki.ubuntu.cz/AppArmor#P.2BAVkA7Q-klad_z.2BAOE-znamu_do_logu

tvuj konkretni problem
https://bugs.launchpad.net/ubuntu/+source/wicd/+bug/588635

[ftdolton]

Díky za odkazy. Na základě toho prvního jsem tak nějak AppArmor zprovozňoval.
Takže přeloženo do jazyka mého kmene (amatérsko-uživatelština , jde o bug wicd a mému ntb se nic neděje.?

[daysleeper]

spis bych rekl, ze je to bug v dhcp3-client, jelikoz ten profil je "jeho"
muzes to tak nechat, ale znameno to, ze dhclient neni schopen nacist nastaveni wicd (nepouzivam, takze nevim, nakolik je to zavazny problem), a taky ty zbytecne zapisy do logu...

pritom by stacilo pridat do /etc/apparmor.d/sbin.dhclient3 radky

Kód: [Vybrat]

# wicd
/var/lib/wicd/* r,a restartovat

Kód: [Vybrat]

sudo apparmor_parser -r -T -W /etc/apparmor.d/sbin.dhclient3

[ftdolton]

Njn, díky za radu, ale já tak nějak nevím, jak "přidat ty tři řádky". Tady do tohohle?; Jak?; Kam?:

tisa@tisa-Extensa-5230:~$ cat /etc/apparmor.d/sbin.dhclient3
# vim:syntax=apparmor
# Last Modified: Fri Jul 17 11:46:19 2009
# Author: Jamie Strandboge <jamie@canonical.com>
#include <tunables/global>

/sbin/dhclient3 {
  #include <abstractions/base>
  #include <abstractions/nameservice>

  capability net_bind_service,
  capability net_raw,
  capability sys_module,
  capability dac_override,

  network packet,
  network raw,

  @{PROC}/*/net/ r,
  @{PROC}/*/net/** r,

  /sbin/dhclient3 mr,

  /etc/dhclient.conf r,
  /etc/dhcp3/ r,
  /etc/dhcp3/** r,

  /var/lib/dhcp3/dhclient* lrw,
  /var/run/dhclient*.pid lrw,
  /var/run/dhclient*.lease* lrw,

  # NetworkManager
  /var/run/nm*conf r,

  # connman
  /var/run/connman/dhclient*.pid lrw,
  /var/run/connman/dhclient*.leases lrw,

  # synce-hal
  /usr/share/synce-hal/dhclient.conf r,

  # if there is a custom script, let it run unconfined
  /etc/dhcp3/dhclient-script Uxr,

  # The dhclient-script shell script sources other shell scripts rather than
  # executing them, so we can't just use a separate profile for dhclient-script
  # with 'Uxr' on the hook scripts. However, for the long-running dhclient3
  # daemon to run arbitrary code via /sbin/dhclient-script, it would need to be
  # able to subvert dhclient-script or write to the hooks.d directories. As
  # such, if the dhclient3 daemon is subverted, this effectively limits it to
  # only being able to run the hooks scripts.
  /sbin/dhclient-script                           Uxr,

  # Run the ELF executables under their own unrestricted profiles
  /usr/lib/NetworkManager/nm-dhcp-client.action   Pxr,
  /usr/lib/connman/scripts/dhclient-script        Pxr,

  # Site-specific additions and overrides. See local/README for details.
  #include <local/sbin.dhclient3>
}

/usr/lib/NetworkManager/nm-dhcp-client.action {
  #include <abstractions/base>
  #include <abstractions/dbus>
  /usr/lib/NetworkManager/nm-dhcp-client.action mr,
}

/usr/lib/connman/scripts/dhclient-script {
  #include <abstractions/base>
  #include <abstractions/dbus>
  /usr/lib/connman/scripts/dhclient-script      mr,
}

Já tu vidím jen Network Manager a ne wicd. Ale nejspíš jsem úplně mimo

[daysleeper]

ted me napada jeste jedna jednodussi moznost: pridej ty tri radky na konec souboru /etc/apparmor.d/local/sbin.dhclient3, to by melo stacit

Kód: [Vybrat]

gksudo gedit /etc/apparmor.d/local/sbin.dhclient3


[ftdolton]

Zdravím,
provedl jsem poslední pokyn. Zřejmě se zadařilo, protože na mne přestal pravidelně vyskakovat AppArmor Notify s přeedtím neustále narůstajícím počtem hlášení.

V logu se teď objevuje např. takováto zpráva:
Jan 13 11:13:01 tisa-Extensa-5230 kernel: [   16.641346] phy0: Atheros AR9280 Rev:2 mem=0xf9380000, irq=17
Jan 13 11:13:01 tisa-Extensa-5230 kernel: [   16.720677] type=1400 audit(1294913581.766:4): apparmor="STATUS" operation="profile_load" name="/usr/share/gdm/guest-session/Xsession" pid=1163 comm="apparmor_parser"
Jan 13 11:13:01 tisa-Extensa-5230 kernel: [   16.731274] type=1400 audit(1294913581.774:5): apparmor="STATUS" operation="profile_load" name="/usr/bin/evince" pid=1165 comm="apparmor_parser"
Jan 13 11:13:01 tisa-Extensa-5230 kernel: [   16.740058] type=1400 audit(1294913581.786:6): apparmor="STATUS" operation="profile_load" name="/usr/bin/evince-previewer" pid=1165 comm="apparmor_parser"
Jan 13 11:13:01 tisa-Extensa-5230 kernel: [   16.745569] type=1400 audit(1294913581.790:7): apparmor="STATUS" operation="profile_load" name="/usr/bin/evince-thumbnailer" pid=1165 comm="apparmor_parser"
Jan 13 11:13:01 tisa-Extensa-5230 kernel: [   16.775029] type=1400 audit(1294913581.818:: apparmor="STATUS" operation="profile_load" name="/usr/lib/cups/backend/cups-pdf" pid=1171 comm="apparmor_parser"
Jan 13 11:13:01 tisa-Extensa-5230 kernel: [   16.775854] type=1400 audit(1294913581.818:9): apparmor="STATUS" operation="profile_load" name="/usr/sbin/cupsd" pid=1171 comm="apparmor_parser"
Jan 13 11:13:01 tisa-Extensa-5230 kernel: [   16.800148] Skipping EDID probe due to cached edid
Jan 13 11:13:01 tisa-Extensa-5230 kernel: [   16.801832] type=1400 audit(1294913581.846:10): apparmor="STATUS" operation="profile_load" name="/usr/lib/firefox-3.6.13/firefox-*bin" pid=1168 comm="apparmor_parser"
Jan 13 11:13:01 tisa-Extensa-5230 kernel: [   16.824182] Skipping EDID probe due to cached edid
Jan 13 11:13:01 tisa-Extensa-5230 kernel: [   16.831914] type=1400 audit(1294913581.874:11): apparmor="STATUS" operation="profile_load" name="/usr/lib/firefox-3.6.13/firefox-*bin//browser_java" pid=1168 comm="apparmor_parser"

Dalo by se usoudit, že je to už OK?

[daysleeper]

ano, v logu neni zadne DENIED

[ftdolton]

Tak to je moooooc fajn!

Díky za trpělivost a rady, s pozdravem