Ошибка при запуске apparmor

0

1

Привет всем.

Начиная с версии 2.13.4 AppArmor стартует с ошибкой загрузки профилей «Invalid capability net_bind_service». Гугление дало несколько обсуждений этой ошибки, но без ясного пути ее обхода, установка версии 9999 для apparmor-profiles тоже ничего не дает. В файле /etc/apparmor.d/abstractions/nis нашел строку

# portmapper may ask root processes to do nis/ldap at low ports
   capability net_bind_service,

. Если ее попробовать убрать, не будет ли угрозы безопасности системы? Или можно решить проблему как-то по-другому?

Всем спасибо.

Ссылка

←	Сеть за клиентом OpenVPN. Клиент Mikrotik.

как клонировать nvme с lvm

→

убирая данную capability максимум, что может случиться - сервисы, использующие эту абстракцию не смогут забиндить порт для себя (номером < 1024).

~~s-o~~ ★
(29.07.20 18:23:34 MSK)

Ссылка

Вероятно, у тебя не Ubuntu, OpenSUSE или Proxmox. А значит в ядре нет поддержки сети, dbus и ещё там чего-то для AppArmor.

anonymous
(29.07.20 19:17:12 MSK)

Ответ на: комментарий от anonymous 29.07.20 19:17:12 MSK

Gentoo. Поддержка Apparmor включена в ядре, в загрузчике тоже. DBus имеется и работает.

LongLiveUbuntu ★★★★★
(29.07.20 19:43:41 MSK) автор топика

Ответ на: комментарий от LongLiveUbuntu 29.07.20 19:43:41 MSK

Небось в ядре выключена поддержка CAP_NET_BIND_SERVICE?

AnDoR ★★★★★
(29.07.20 19:47:47 MSK)

aa-status 
apparmor module is loaded.
1 profiles are loaded.
1 profiles are in enforce mode.
   lsb_release
0 profiles are in complain mode.
0 processes have profiles defined.
0 processes are in enforce mode.
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.

LongLiveUbuntu ★★★★★
(29.07.20 19:51:33 MSK) автор топика

Ссылка

Ответ на: комментарий от AnDoR 29.07.20 19:47:47 MSK

Сейчас гляну.

LongLiveUbuntu ★★★★★
(29.07.20 19:51:53 MSK) автор топика

Ссылка

Ответ на: комментарий от AnDoR 29.07.20 19:47:47 MSK

Без понятия, где оно там. По имени capability не ищет. Куда посмотреть?

LongLiveUbuntu ★★★★★
(29.07.20 19:59:41 MSK) автор топика

Ссылка

Ответ на: комментарий от AnDoR 29.07.20 19:47:47 MSK

capabilities не настраиваются опциями. они всегда доступны.

первая же ссылка в гугле приводит на баг, из-за чего пострадал ТС: https://gitlab.com/apparmor/apparmor/issues/74

~~s-o~~ ★
(29.07.20 20:16:26 MSK)

Ответ на: комментарий от s-o 29.07.20 20:16:26 MSK

Да, это оно.

LongLiveUbuntu ★★★★★
(29.07.20 21:05:23 MSK) автор топика

Ссылка

Ответ на: комментарий от LongLiveUbuntu 29.07.20 19:43:41 MSK

Ты не понял. Твой AppArmor не умеет работать с сетью и DBus. Да, это не связано с этой проблемой, как я вижу, но тем не менее. Патчи эти есть только в перечисленных дистрибутивах и производных (в Proxmox ядро тоже базируется на убунтовском). В общем, в апстриме огрызок.

anonymous
(29.07.20 21:14:39 MSK)

Ответ на: комментарий от anonymous 29.07.20 21:14:39 MSK

Раньше прекрасно работало. Начиная с 2.13.4 сломалось. Это баг, ИМХО.

LongLiveUbuntu ★★★★★
(30.07.20 07:01:54 MSK) автор топика

Ответ на: комментарий от anonymous 29.07.20 21:14:39 MSK

Ошибка при запуске apparmor (комментарий)

Вот, смотри.

LongLiveUbuntu ★★★★★
(30.07.20 07:03:29 MSK) автор топика

Ссылка

Ответ на: комментарий от LongLiveUbuntu 30.07.20 07:01:54 MSK

Да блин, я же согласился, что оно не связано, просто говорю, что у тебя в принципе нет некоторой функциональности.

anonymous
(30.07.20 07:33:41 MSK)

Ответ на: комментарий от anonymous 30.07.20 07:33:41 MSK

Но раньше же была. Думаешь, стоит собирать ядро с патчами от Убунты? Или мне debian-sources хватит? Сейчас у меня классическое gentoo-sources.

LongLiveUbuntu ★★★★★
(30.07.20 07:48:48 MSK) автор топика

Ответ на: комментарий от anonymous 30.07.20 07:33:41 MSK

На крайняк вечером попробую включить в ебилде apparmor-profiles флажок vanilla.

LongLiveUbuntu ★★★★★
(30.07.20 07:50:20 MSK) автор топика

Ссылка

Ответ на: комментарий от LongLiveUbuntu 30.07.20 07:48:48 MSK

Не было. Эти фичи ещё не приняты в mainline. Нужны ли они тебе — другой вопрос, зависит от используемых приложений. Snap, например, полноценно без них работать не будет.

anonymous
(30.07.20 07:57:00 MSK)