Logs de auditoria do AppArmor… o que isso significa?

1
 1 Time(s): audit: type=1400 audit(1473854574.089:113): apparmor="STATUS" operation="profile_replace" profile="unconfined" name="/usr/lib/cups/backend/cups-pdf" pid=31430 comm="apparmor_parser"

 1 Time(s): audit: type=1400 audit(1473854574.089:114): apparmor="STATUS" operation="profile_replace" profile="unconfined" name="/usr/sbin/cupsd" pid=31430 comm="apparmor_parser"

 1 Time(s): audit: type=1400 audit(1473854574.089:115): apparmor="STATUS" operation="profile_replace" profile="unconfined" name="/usr/sbin/cupsd" pid=31430 comm="apparmor_parser"

Eu deveria estar preocupado?

Estou executando o Ubuntu 14.04.5 LTS (GNU / Linux 4.4.0-36-genérico x86_64)

    
por boozedog 15.09.2016 / 15:25

2 respostas

2

Primeiro, isso significa que você deve ler man -k apparmor e man páginas.

Em segundo lugar, o apparmor="STATUS" mostra que este é um relatório de status, informando sobre uma operação "profile_replace" , substituindo o perfil atual do apparmor pelo perfil profile="unconfined" , em nome de name="/usr/lib/cups/backend/cups-pdf" pid=31430 , name="/usr/sbin/cupsd" pid=31430 e name="/usr/sbin/cupsd" pid=31430 , usando o comando apparmor_parser (consulte man apparmor_parser ).

Em inglês, o é CUPS - Common Unix Printing System informando que o AppArmor quer executar no modo antigo, "não confinado", "AppArmor não me incomoda", usado por programas que ainda não se adaptaram à vida com o AppArmor.

Para mais informações sobre o AppArmor, consulte O que é o AppArmor? " link

Você não precisa se preocupar, mas um certo nível de preocupação é sempre apropriado.

    
por waltinator 15.09.2016 / 17:28
0

Eu imploro para diferir com a resposta do Waltinator. Se um processo pudesse dizer ao apparmor "deixe-me sozinho" não haveria muito sentido para o aparato haveria?

Li as páginas do manual e recebo uma citação que se aplica.

Sempre que eu digito "sudo service mysql restart", vejo uma mensagem semelhante no syslog ... time kernel: audit: tipo = 1400 apparmor="STATUS" operação="profile_replace" profile="unconfined" nome="/ usr / sbin / mysqld" pid = 5014 comm="apparmor_parser"

Se eu então digitar "sudo aa-status" eu vejo que o mysql está na lista "nn processos estão em modo enforce" 0 processos estão no modo de reclamação. 0 processos são confinados, mas possuem um perfil definido.

Então eu acho que esta mensagem bastante confusa é apenas aparentemente dizendo ... Eu acabei de encontrar um processo que combina com o profile="unconfined" e vou executar operation="profile_replace".

Estas mensagens também aparecem quando o PC é reinicializado, presumivelmente pela mesma razão, o apparmor é carregado primeiro, então, quando outros processos são carregados, ele é confinado.

Observe também se você reiniciar o apparmor, então todos os processos confinados atualmente em execução serão desconfinados. Use "sudo service apparmor reload" ou reinicialize após fazer quaisquer alterações na configuração do apparmor.

    
por Matt 17.10.2018 / 12:57