strongSwan 5.1.2 no Ubuntu Trusty (14.0.4) e no AppArmor

1

Configurei VPN no Ubuntu Trusty com strongSwan 5.1.2 e conexões estão OK. O daemon está sendo executado como root .

Mas quando executo qualquer comando stroke via wrapper ipsec no Bash (conexão raiz ), ele responde:
reading from socket failed: Permission denied

Quando eu suprimir /etc/apparmor.d/usr.lib.ipsec.stroke AppArmor perfil, o comando responde corretamente.

Este é o perfil padrão do AppArmor:

#include <tunables/global>

/usr/lib/ipsec/stroke {
  #include <abstractions/base>
  /etc/strongswan.conf          r,
  /etc/strongswan.d/            r,
  /etc/strongswan.d/**          r,
  /run/charon.ctl               rw,
}

Não encontro o que adicionar para que o comando responda corretamente.

Alguma ideia?

Obrigado Fabrice Barconnière

    
por EOLE team 19.03.2015 / 16:36

2 respostas

2

Estou vendo exatamente o mesmo problema, mas isso ocorre apenas em parte do tempo. Às vezes, o comando ipsec é concluído com êxito e, às vezes, o mesmo comando obtém o erro de permissão negada. Remover os perfis do apparmor corrige:

apparmor_parser -R /etc/apparmor.d/usr.lib.ipsec.charon
apparmor_parser -R /etc/apparmor.d/usr.lib.ipsec.stroke

Definitivamente algo em um patch recente.

    
por Aaron Huber 21.03.2015 / 00:34
1

Sim, tenho o mesmo comportamento. O comando ipsec é um wrapper do comando stroke . A remoção apenas do perfil stroke do AppArmor é suficiente.

    
por EOLE team 26.03.2015 / 09:30