Estou tentando ajustar um perfil do AppArmor depois de encontrar alguma orientação que deve ser desativada para meu caso de uso (não muito feliz em executar um daemon IPSec nu).
Então, tentei colocá-lo no modo complain e isso resolveu o problema, mas sem realmente revelar qual era a causa; Eu esperava que aa-logprof me ajudasse lá , mas ele voltou vazio.
Indo um pouco mais longe, descobri esta arma fumegante em /var/log/messages (antes de ativar o modo complain ):
type=1400 audit(1470858266.974:84): apparmor="DENIED" operation="capable" profile="/usr/lib/ipsec/charon" pid=27117 comm="charon" capability=1 capname="dac_override"
Ativar o modo complain produz:
type=1400 audit(1470855949.106:69): apparmor="ALLOWED" operation="capable" profile="/usr/lib/ipsec/charon" pid=4674 comm="charon" capability=1 capname="dac_override"
Então, parece que capability dac_override está faltando (e, na verdade, se eu adicioná-lo manualmente ao perfil, ele funciona)
Mas estou confuso sobre o motivo pelo qual isso não foi explicitamente revelado por complain . O complain habilita de forma transparente dac_override ?
Sou novo no AppArmor; Eu passei um bom tempo hoje tentando analisar a documentação, mas não consegui encontrar nenhuma referência a esse comportamento ...
(apparmor 2.8.95 ~ 2430-0ubuntu5.3 no Ubuntu 14.04, kernel 3.13.0-92)