Eu compilei um kernel (linux-libre-xtreme) com esta configuração , tem a maioria dos LSMs ativados: YAMA, SMACK, AppArmor, TOMOYO e SELinux. No entanto, quando inicio o serviço apparmor com o OpenRC eu recebo:
# rc-service apparmor start
* Stopping AppArmor ...
* Unloading AppArmor profiles
* Root privileges not available [ !! ]
* Starting AppArmor ...
* Loading AppArmor profiles ...
Cache read/write disabled: interface file missing. (Kernel needs AppArmor 2.4 compatibility patch.)
Warning: unable to find a suitable fs in /proc/mounts, is it mounted?
Use --subdomainfs to override.
* /etc/apparmor.d/usr.bin.apache2 failed to load
Cache read/write disabled: interface file missing. (Kernel needs AppArmor 2.4 compatibility patch.)
Warning: unable to find a suitable fs in /proc/mounts, is it mounted?
Use --subdomainfs to override.
E outros perfis também reclamam, no entanto isso não acontece com outro kernel que eu compilei também (linux-libre-lts-apparmor, veja sua configuração aqui )
O que estou fazendo de errado? Se eu faço cat /sys/module/apparmor/parameters/enabled com o kernel linux-libre-xtreme, eu recebo N , mas com linux-libre-lts-apparmor, diz Y , então eu sei que não é algo com parâmetros do kernel do bootloader.
Resolvido desativando CONFIG_DEFAULT_SECURITY_DAC=y , tem de haver apenas um CONFIG_DEFAULT_SECURITY_* ativado, parece
EDITAR: também descobri que, para que o AppArmor seja habilitado por padrão durante a inicialização, SECURITY_APPARMOR_BOOTPARAM_VALUE deve ser definido como "1", assim: CONFIG_SECURITY_APPARMOR_BOOTPARAM_VALUE=1
Tags apparmor linux-kernel lsm