AppArmor - root: "У вас недостаточно прав для чтения набора профилей".
Я пытаюсь использовать AppArmor на удаленном сервере Xen с собственным ядром.
AppArmor, кажется, работает, но не правильно. Например, если я запускаю следующую команду от имени root:
# aa-status
apparmor module is loaded.
You do not have enough privilege to read the profile set.
Любые идеи, что происходит, будут полезны. Спасибо!
Вот мои параметры ядра:
# grep -i APPARMOR /boot/config-3.6.11-xen
CONFIG_SECURITY_APPARMOR=y
CONFIG_SECURITY_APPARMOR_BOOTPARAM_VALUE=1
CONFIG_DEFAULT_SECURITY_APPARMOR=y
CONFIG_DEFAULT_SECURITY="apparmor"
dmesg, показывающий, что AppArmor запущен:
# dmesg | grep AppArmor
AppArmor: AppArmor initialized
AppArmor: AppArmor Filesystem Enabled
AppArmor перехватывает в /sys и их соответствующие значения:
(Примечание: нет /sys/kernel/security/apparmor/profile)
# for x in $(find /sys -type f | grep apparmor) ; do echo -n "$x - "; cat $x ; done
/sys/kernel/security/apparmor/features/rlimit/mask - cpu fsize data stack core rss nproc nofile memlock as locks sigpending msgqueue nice rtprio rttime
/sys/kernel/security/apparmor/features/capability - 0xffffff
/sys/kernel/security/apparmor/features/file/mask - create read write exec append mmap_exec link lock
/sys/kernel/security/apparmor/features/domain/change_profile - yes
/sys/kernel/security/apparmor/features/domain/change_onexec - yes
/sys/kernel/security/apparmor/features/domain/change_hatv - yes
/sys/kernel/security/apparmor/features/domain/change_hat - yes
/sys/kernel/security/apparmor/.remove - cat: /sys/kernel/security/apparmor/.remove: Invalid argument
/sys/kernel/security/apparmor/.replace - cat: /sys/kernel/security/apparmor/.replace: Invalid argument
/sys/kernel/security/apparmor/.load - cat: /sys/kernel/security/apparmor/.load: Invalid argument
/sys/module/apparmor/parameters/mode - enforce
/sys/module/apparmor/parameters/audit - normal
/sys/module/apparmor/parameters/debug - N
/sys/module/apparmor/parameters/paranoid_load - Y
/sys/module/apparmor/parameters/enabled - Y
/sys/module/apparmor/parameters/path_max - 8192
/sys/module/apparmor/parameters/logsyscall - N
/sys/module/apparmor/parameters/lock_policy - N
/sys/module/apparmor/parameters/audit_header - Y
Пользовательские пакеты, которые я установил:
# dpkg -l apparmor*
Version Description
+++-===============================================-===============================================-==============================================================================================================
ii apparmor 2.7.102-0ubuntu3.7 User-space parser utility for AppArmor
ii apparmor-notify 2.7.102-0ubuntu3.7 AppArmor notification system
ii apparmor-profiles 2.7.102-0ubuntu3.7 Profiles for AppArmor Security policies
ii apparmor-utils 2.7.102-0ubuntu3.7 Utilities for controlling AppArmor
Опять же, если у кого-то есть идея, почему она работает неправильно, включая ошибку пользователя, дайте мне знать. Насколько я вижу, похоже, что это должно работать.
Еще раз спасибо за любое руководство.
1 ответ
У меня такая же проблема;)
Просто скачайте пакет apparmor с: http://launchpad.net/apparmor/2.7/2.7.2/+download/apparmor-2.7.2.tar.gz
перейдите по адресу: /apparmor-2.7.2/kernel-patches/3.1 <Здесь у вас есть патчи для ядра. Не волнуйтесь - они работают с версией 3.2.x;)
исправьте ядро, выберите опцию "Включить совместимость AppArmor 2.4" (например, из make nconfig/make menuconfig).
Скомпилируйте и будьте счастливы с полностью работающим apparmor
Надеюсь, поможет!
PS. Извините за мой хромой английский - это не мой основной язык:)