解决ubuntu环境下报apparmor=“DENIED“ operation=“exec“之类的错误

最新推荐文章于 2023-03-12 07:41:08 发布
最新推荐文章于 2023-03-12 07:41:08 发布
阅读量3.3k 收藏 2
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dap769815768/article/details/114369686
版权

apparmor的权限规则一般默认放在/etc/apparmor.d/目录下,比如tcpdump的规则存放在该目录下的usr.sbin.tcpdump下,其内容有固定的格式,它相当于白名单,规定了该应用对于目录的访问权限。应用要想访问某个目录,则必须在这个文件里加上权限,否则就会报错,比如使用下面的命令:

# 重启某个服务,这里以docker为例
systemctl restart snap.docker.dockerd
# 查看日志
journalctl -xe

如果权限不足,会查到报错信息如下:

Mar 04 14:43:17 ubuntu audit[5657]: AVC apparmor="DENIED" operation="ptrace" profile="snap.docker.dockerd" pid=5657 comm="ps" requested_mask="trace" denied_mask="trace" peer="/sbin/dhclient"

这个时候你就需要修改snap.docker.dockerd,但这里要注意这个文件不是放在/etc/apparmor.d/目录里的,因为对于snap安装的应用,它们的配置会放到/var/lib/snapd/apparmor/profiles/目录里,它的格式是下面这样的(以tcpdump为例):

# vim:syntax=apparmor
# Last Modified: Wed Feb  3 07:58:30 2009
# Author: Jamie Strandboge <jamie@canonical.com>
#include <tunables/global>

/usr/sbin/tcpdump {
  #include <abstractions/base>
  #include <abstractions/nameservice>
  #include <abstractions/user-tmp>

  capability net_raw,
  capability setuid,
  capability setgid,
  capability dac_override,
  network raw,
  network packet,

  # for -D
  capability sys_module,
  @{PROC}/bus/usb/ r,
  @{PROC}/bus/usb/** r,

  # for finding an interface
  @{PROC}/[0-9]*/net/dev r,
  /sys/bus/usb/devices/ r,
  /sys/class/net/ r,
  /sys/devices/**/net/* r,

  # for -j
  capability net_admin,

  # for tracing USB bus, which libpcap supports
  /dev/usbmon* r,
  /dev/bus/usb/ r,
  /dev/bus/usb/** r,

  # for init_etherarray(), with -e
  /etc/ethers r,

  # for USB probing (see libpcap-1.1.x/pcap-usb-linux.c:probe_devices())
  /dev/bus/usb/**/[0-9]* w,

  # for -z
  /{usr/,}bin/gzip ixr,
  /{usr/,}bin/bzip2 ixr,

  # for -F and -w
  audit deny @{HOME}/.* mrwkl,
  audit deny @{HOME}/.*/ rw,
  audit deny @{HOME}/.*/** mrwkl,
  audit deny @{HOME}/bin/ rw,
  audit deny @{HOME}/bin/** mrwkl,
  owner @{HOME}/ r,
  owner @{HOME}/** rw,

  # for -r, -F and -w
  /**.[pP][cC][aA][pP] rw,

  # for convenience with -r (ie, read pcap files from other sources)
  /var/log/snort/*log* r,

  /usr/sbin/tcpdump mr,

  # Site-specific additions and overrides. See local/README for details.
  #include <local/usr.sbin.tcpdump>
}

如果你嫌配置这个文件麻烦,有一个较为简单省事的方法可以替代。apparmor分成两种模式,一种模式是enforce mode,一种模式是complain mode。前者会严格按照配置规则来控制应用的访问权限,后者不会禁止应用访问文件,但会记录下来。使用命令:

apparmor_status

可以看到每个应用处在什么模式下,比如我的电脑配置如下:

root@ubuntu:~# apparmor_status
apparmor module is loaded.
28 profiles are loaded.
28 profiles are in enforce mode.
   /sbin/dhclient
   /snap/core/10823/usr/lib/snapd/snap-confine
   /snap/core/10823/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /snap/core/10859/usr/lib/snapd/snap-confine
   /snap/core/10859/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /usr/bin/lxc-start
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/lib/lxd/lxd-bridge-proxy
   /usr/lib/snapd/snap-confine
   /usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /usr/sbin/tcpdump
   docker-default
   lxc-container-default
   lxc-container-default-cgns
   lxc-container-default-with-mounting
   lxc-container-default-with-nesting
   snap-update-ns.core
   snap-update-ns.docker
   snap.core.hook.configure
   snap.docker.compose
   snap.docker.docker
   snap.docker.dockerd
   snap.docker.help
   snap.docker.hook.install
   snap.docker.hook.post-refresh
   snap.docker.machine
0 profiles are in complain mode.
3 processes have profiles defined.
3 processes are in enforce mode.
   /sbin/dhclient (1069)
   snap.docker.dockerd (5543)
   snap.docker.dockerd (5618)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.

可以看到snap.docker.dockerd是enforce mode。只需要把它改为complain mode,则就会省去一个个配置的麻烦。使用aa-complain命令可以进行修改,在使用这个命令之前,你需要安装一个工具,如下:

 apt install apparmor-utils

安装好之后,使用下面的命令进行变更:

sudo aa-complain /var/lib/snapd/apparmor/profiles/snap.docker.dockerd

但这里会报错:

Profile for /var/lib/snapd/apparmor/profiles/snap.docker.dockerd not found, skipping

这里感觉像是一个bug。我刚才说了,snap安装的应用配置文件都是放到/var/lib/snapd/apparmor/profiles/目录下,而普通的应用的配置会放到/etc/apparmor.d/目录下,放到/etc/apparmor.d/目录下的会被识别,但是其他的目录的不会被识别,比如同样的一个配置,如果放到/etc/apparmor.d/目录下,则不会报上面的错,把snap.docker.dockerd拷贝到/etc/apparmor.d/目录,然后执行:

sudo aa-complain /etc/apparmor.d/snap.docker.dockerd

结果如下:

执行结束之后,把两个文件打开,比对一下区别。

原来的:

新的:

可以看到新增了一个complain。然后再把/etc/apparmor.d/目录下被修改过的配置文件拷贝到/var/lib/snapd/apparmor/profiles/替换掉原来的,那么这个配置文件就修改成功了。这里我把/var/lib/snapd/apparmor/profiles/目录下的所有配置全部都给修改掉了。使用:

sudo aa-complain /etc/apparmor.d/snap*

可以批量修改所有snap开头的配置。修改之后重启电脑,再使用apparmor_status命令查看,结果如下:

root@ubuntu:~# apparmor_status
apparmor module is loaded.
26 profiles are loaded.
14 profiles are in enforce mode.
   /sbin/dhclient
   /usr/bin/lxc-start
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/lib/lxd/lxd-bridge-proxy
   /usr/lib/snapd/snap-confine
   /usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /usr/sbin/tcpdump
   docker-default
   lxc-container-default
   lxc-container-default-cgns
   lxc-container-default-with-mounting
   lxc-container-default-with-nesting
12 profiles are in complain mode.
   /snap/core/10859/usr/lib/snapd/snap-confine
   /snap/core/10859/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   snap-update-ns.core
   snap-update-ns.docker
   snap.core.hook.configure
   snap.docker.compose
   snap.docker.docker
   snap.docker.dockerd
   snap.docker.help
   snap.docker.hook.install
   snap.docker.hook.post-refresh
   snap.docker.machine
3 processes have profiles defined.
1 processes are in enforce mode.
   /sbin/dhclient (1133)
2 processes are in complain mode.
   snap.docker.dockerd (1218)
   snap.docker.dockerd (1370)
0 processes are unconfined but have a profile defined.

可以看到已经被改掉了,这个时候,再通过snap去启动docker,就没有apparmor相关的报错了。

returnTrue999
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
SELINUX工作模式的设定方法
知行合一 止于至善
11-28 3468
SELINUX是Security-Enhanced Linux(安全增强型Linux)的简称,它最早由美国安全局United States National Security Agency (NSA) 所设计开发,并成为Linux内核的一部分,在Linux内核版本2.6及以上版本包含SELINUX模块。这篇文章主要介绍一下SELINUX关闭和设定的方法。
apparmor配置文件:某些应用程序的AppArmor安全配置文件
02-06
apparmor配置文件:某些应用程序的AppArmor安全配置文件
apparmor_monkeys:适用于python的更安全,更简单的AppArmor配置文件
05-07
apparmor_monkeys Monkeypatches以最小化在AppArmor下运行python所需的权限。 这是做什么的? 假设您已经编写了一个简单的Django应用程序。 也许您只是遵循了Django教程。 您的所有代码要做的只是一点数据库查询。 然后,将其部署到AppArmor下并执行以下操作: type=AVC msg=audit(1443087838.797:1078): apparmor="DENIED" operation="exec" profile="helloworld-application" name="/bin/dash" pid=8202 comm="python" requested_mask="x" denied_mask="x" fsuid=999 ouid=0 突然,您的审核日志中充满了消息,抱怨您的应用程序正在尝试运行Shell。 您当
docker-sec:Docker容器的自动AppArmor管理
05-09
泊坞窗 Docker容器的自动AppArmor管理 用法 要使用docker-sec,只需通过添加后缀-sec即可使用docker命令。 例如,要启动新容器,请运行以下命令: docker-sec run --name safe-nginx -p 80:80 nginx 要使用docker-sec用户的个人档案培训功能,可以执行以下操作: docker-sec train-stop safe-nginx # browse nginx pages... docker-sec train-stop safe-nginx 安装 要安装docker-sec,首先必须安装并启用AppArmor。 另外,必须在系统中安装auditd。 对于基于Debian的系统,请运行: sudo apt-get install auditd audispd-plugins 下一步,从github克隆doc
谈谈Android 安全策略SElinux
fhaitao900310的博客
09-29 3813
不积跬步无以至千里,补全自己的短板,完善体系,虽然是站在巨人的肩膀上,写这篇文章也算是对这个知识点的总结。 一,背景 SElinux出现之前,Linux上的安全模型叫DAC(Discretionary Access Control 自主访问控制),它的核心思想就是:进程拥有的权限与执行它的用户权限相同,比如,以root用户启动camera, 那么camera就拥有root的用户权限,我们知道root的权限是很大的,可以说为所欲为。 所以DAC方式管理太过宽松,只要应用获得了root权限,可以在后台做很
Android sepolicy简要记
热门推荐
ch853199769的博客
09-07 2万+
安全上下文 Seapp_contexts File_contexts Service_contexts Property_contexts Hwservice_contexts 安全策略 常见错误修改 违反规则的同时又neverallow问题修改 方式一:更改type 方式二 通过binder/socket 等方式连接APP 访问 方式三 更改Label Process 无法访问某个新增d...
ubuntu1604环境下mariadb启动卡住报错和apparmor基本使用
久伴你逍遥风的博客
12-14 1509
问题描述:Ubuntu 1604 新环境下使用apt安装的mariadb10版本,结果第二天就起不来了,启动时会卡住,很是郁闷 启动mariadb服务 启动失败,先查看一下状态 肯定也是不正常的,看一下有没有什么错误输出信息 然后再使用这个查看详细一点的报错 journalctl -xe 当时就只顾着找error关键字,没在意其他的,后来才注意到这个apparmor=...
ubuntu18.04 虚拟机安装的AppArmor 错误
07-16 1358
ubuntu18.04 虚拟机安装的AppArmor 错误 打开虚拟机管理器: $ sudo virt-manager 然后安装 os iso,出现 AppArmor 错误,使用下面的命令解决: $ sudo ln -s /etc/apparmor.d/usr.sbin.libvirtd /etc/apparmor.d/disable/ $ sudo apparmor_parser -R /et...
ubuntu中的apparmor
cooperdoctor的博客
11-14 2676
ubuntu中的apparmorapparmor是什么常用apparmor操作apparmor的工作模式apparmor的配置文件apparmor的适用场景 apparmor是什么 Apparmor是ubuntu自带的安全工具,可以限制已知应用的能力,控制应用访问文件、目录和网络的能力。具有类似功能的工具还包括selinux、lids,目前selinux、lids和apparmor遵循LSM框架,...
ubuntu16.0.4下修改MySQL的data目录之mysqld启动报错
aigexian4976的博客
01-12 677
由于需要更换MySQL的data目录,更改完成后启动报错如下: apparmor="DENIED" operation="mknod" profile="/usr/sbin/mysqld"name="/var/lib/mysql/ibdata1" pid=19775 comm="mysqld" requested_mask="c" denied_mask="c" fsuid=105...
ubuntu16.04启动mysql_mysql不会启动Ubuntu 16.04.2 x64
weixin_39989980的博客
02-11 97
所以MySQL在服务器重启后不会重启/启动。没有编辑配置文件/进行任何更改。我有和question一样的问题,其中apparmor导致这些日志条目:Sep 27 11:18:53 staging audit[2986]: AVC apparmor="DENIED" operation="open" profile="/usr/sbin/mysqld" name="/proc/2986/status...
apparmor:apparmor厨师食谱的开发存储库
02-06
要求平台类的Ubuntu 德比安厨师厨师12.7+食谱没有属性default['apparmor']['disable'] :控制在default.rb配方中安装或删除apparmor服务。 默认值为false,这将安装apparmor,启动服务并启用该服务。菜谱default.rb ...
apparmor.lists.ubuntu.com.0
02-08
apparmor.lists.ubuntu.com.0
[Android L]SEAndroid增强Androd安全性背景概要及带来的影响
Venus 的博客
06-07 392
Android对于操作系统安全性方面的增强一直沿用Linux内核所提供的MAC强制访问控制套件SELinux,对权限进行了更为深度的管理,有效地控制着进程对资源的访问。2012年才问世的SE Android将SELinux移植到Android平台上,以降低恶意应用程序攻击带来的损害,提供Android系统的防御能力。 SE Android(Secutity-Enhanced Android)是Android与SE Linux的结合,由美国NSA在2012年推出的Android操作系统的安全强化套件,
SELINUX
yangzex的专栏
11-20 622
也就是说,目前android 只定义了一个user u,一个role r,file system 使用object_r,user u 只有一个role r,mls 的low_level 是s0,high level 是s0:c0.c1023。在后续的版本更新中,Google 导入了大批量的限制性 neverallow 语法,特别是从O 版本开始针对System/Vendor 的分离,进行了大量针对性的限制,具体可以参考Google 在/system/sepolicy 中所设定的neverallow 语句。
docker容器启动时会报 socket permission denied或者listen tcp port failed 等错误的原因
u014062332的专栏
08-27 5356
最近在deepin系统上装了个snap,应该是给启用了apparmor这个东东,导致原本运行正常的docker 容器在在使用socket监听网络端口时会报 socket permission denied或者 listen tcp port xxx:failed的错误 排查了好久才找到蛛丝马迹,可能是和apparmor这个linux安全策略软件系统有关,由于时间关系没有仔细去研究这个玩意儿, ...
由于AppArmor拦截导致snap程序异常的问题
Linux内核研究者
03-12 445
由于AppArmor拦截导致snap程序异常的问题
基于NFV的虚拟化BRAS组网方案.docx
最新发布
04-27
5G通信行业、网络优化、通信工程建设资料。
ubuntu Permission denied
04-04
As an AI language model, I do not have access to your system to determine the exact cause of the "Permission denied" error in Ubuntu. However, here are some general solutions that you can try: 1. Check the file permissions - Ensure that you have the necessary permissions to access the file or directory. You can use the "ls -l" command to view the file permissions. 2. Run the command as a superuser - Use the "sudo" command to run the command as a superuser. This will give you elevated privileges and allow you to perform actions that require root-level access. 3. Change ownership - If you are the owner of the file or directory, you can change the ownership using the "chown" command. 4. Check disk space - If you are trying to create a file or directory and there is no disk space available, you may get the "Permission denied" error. Check your disk space using the "df" command. 5. Disable SELinux/AppArmor - If you are using SELinux or AppArmor, they may be preventing you from accessing the file or directory. Disable them temporarily to see if that resolves the issue. These are some general solutions to the "Permission denied" error in Ubuntu. If these do not work, you may need to seek further assistance or contact the Ubuntu support team.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值