Le dépannage d’AppArmor avec «démontage» est-il dangereux?
Je comprends qu'il existe un moyen plus sûr et plus ciblé de résoudre le problème de la contribution potentielle d'AppArmor à un problème consistant à arrêter complètement le service et à supprimer les profils AppArmor. Quelqu'un peut-il me donner les détails et les avantages de la meilleure approche?
Voici ce à quoi je pensais (de https://wiki.ubuntu.com/DebuggingApparmor ) - "mode réclamation". Cela n'aborde pas la question des avantages ou des conséquences de cette méthode par rapport à d'autres méthodes de débogage.
Lors du débogage, il peut également être utile de mettre apparmor en mode "plainte". Cela permettra à votre application de fonctionner normalement pendant que apparmor signale les accès qui ne figurent pas dans le profil. Pour activer le mode "réclamation", utilisez:
Sudo aa-complain /path/to/binoù '/ chemin/vers/bin' est le chemin absolu vers le binaire, comme indiqué dans la partie 'profil = ...' de l'entrée 'audit'. Par exemple:
Sudo aa-complain /usr/sbin/slapdPour réactiver le mode d'application, utilisez plutôt "aa-enforce":
Sudo aa-enforce /path/to/binPour désactiver un profil:
Sudo touch /etc/apparmor.d/disable/path.to.bin Sudo apparmor_parser -R /etc/apparmor.d/path.to.bin
Lors du dépannage, si quelque chose de cassé semble être lié à un problème d'autorisation fantasmagorique ('Hmm, cela ressemble à du contrôle d'accès, mais ce n'est pas un problème d'autorisations Unix, ni un problème NFS, ni un problème PAM, ni un problème de montage de support , etc. - c’est peut-être AppArmor. '), Kees Cook souligne que la meilleure solution consiste également à vérifier les journaux de votre système. Notamment, pour Kees Cook, "le résultat de dmesg signalera tous les refus d'AppArmor et inclura le profil."