web-dev-qa-db-fra.com

strongSwan 5.1.2 sur Ubuntu Trusty (14.0.4) et AppArmor

J'ai configuré VPN sur Ubuntu Trusty avec strongSwan 5.1.2 et les connexions sont correctes. Le démon s'exécute en tant que racine.

Mais quand j'exécute n'importe quel trait commande via ipsec wrapper dans Bash (racine connexion), il répond:
reading from socket failed: Permission denied

Lorsque je supprime le profil /etc/apparmor.d/usr.lib.ipsec.stroke AppArmor, la commande répond correctement.

C'est le profil AppArmor par défaut:

#include <tunables/global>

/usr/lib/ipsec/stroke {
  #include <abstractions/base>
  /etc/strongswan.conf          r,
  /etc/strongswan.d/            r,
  /etc/strongswan.d/**          r,
  /run/charon.ctl               rw,
}

Je ne trouve pas quoi ajouter pour que la commande réponde correctement.

Une idée ?

Merci Fabrice Barconnière

1
EOLE team

Je vois exactement le même problème, mais cela ne se produit que de temps en temps. Parfois, la commande ipsec se termine avec succès et parfois, la même commande obtient l'erreur d'autorisation refusée. La suppression des profils apparmor résout le problème:

apparmor_parser -R /etc/apparmor.d/usr.lib.ipsec.charon
apparmor_parser -R /etc/apparmor.d/usr.lib.ipsec.stroke

Certainement quelque chose dans un correctif récent.

2
Aaron Huber

Oui, j'ai le même comportement. La commande ipsec est une enveloppe de la commande stroke. Supprimer uniquement le profil stroke AppArmor est suffisant.

1
EOLE team