解决ubuntu环境下报apparmor=“DENIED“ operation=“exec“之类的错误

最新推荐文章于 2025-03-25 11:26:51 发布
最新推荐文章于 2025-03-25 11:26:51 发布
阅读量4.4k 收藏 3
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dap769815768/article/details/114369686
版权

apparmor的权限规则一般默认放在/etc/apparmor.d/目录下,比如tcpdump的规则存放在该目录下的usr.sbin.tcpdump下,其内容有固定的格式,它相当于白名单,规定了该应用对于目录的访问权限。应用要想访问某个目录,则必须在这个文件里加上权限,否则就会报错,比如使用下面的命令:

# 重启某个服务,这里以docker为例
systemctl restart snap.docker.dockerd
# 查看日志
journalctl -xe

如果权限不足,会查到报错信息如下:

Mar 04 14:43:17 ubuntu audit[5657]: AVC apparmor="DENIED" operation="ptrace" profile="snap.docker.dockerd" pid=5657 comm="ps" requested_mask="trace" denied_mask="trace" peer="/sbin/dhclient"

这个时候你就需要修改snap.docker.dockerd,但这里要注意这个文件不是放在/etc/apparmor.d/目录里的,因为对于snap安装的应用,它们的配置会放到/var/lib/snapd/apparmor/profiles/目录里,它的格式是下面这样的(以tcpdump为例):

# vim:syntax=apparmor
# Last Modified: Wed Feb  3 07:58:30 2009
# Author: Jamie Strandboge <jamie@canonical.com>
#include <tunables/global>

/usr/sbin/tcpdump {
  #include <abstractions/base>
  #include <abstractions/nameservice>
  #include <abstractions/user-tmp>

  capability net_raw,
  capability setuid,
  capability setgid,
  capability dac_override,
  network raw,
  network packet,

  # for -D
  capability sys_module,
  @{PROC}/bus/usb/ r,
  @{PROC}/bus/usb/** r,

  # for finding an interface
  @{PROC}/[0-9]*/net/dev r,
  /sys/bus/usb/devices/ r,
  /sys/class/net/ r,
  /sys/devices/**/net/* r,

  # for -j
  capability net_admin,

  # for tracing USB bus, which libpcap supports
  /dev/usbmon* r,
  /dev/bus/usb/ r,
  /dev/bus/usb/** r,

  # for init_etherarray(), with -e
  /etc/ethers r,

  # for USB probing (see libpcap-1.1.x/pcap-usb-linux.c:probe_devices())
  /dev/bus/usb/**/[0-9]* w,

  # for -z
  /{usr/,}bin/gzip ixr,
  /{usr/,}bin/bzip2 ixr,

  # for -F and -w
  audit deny @{HOME}/.* mrwkl,
  audit deny @{HOME}/.*/ rw,
  audit deny @{HOME}/.*/** mrwkl,
  audit deny @{HOME}/bin/ rw,
  audit deny @{HOME}/bin/** mrwkl,
  owner @{HOME}/ r,
  owner @{HOME}/** rw,

  # for -r, -F and -w
  /**.[pP][cC][aA][pP] rw,

  # for convenience with -r (ie, read pcap files from other sources)
  /var/log/snort/*log* r,

  /usr/sbin/tcpdump mr,

  # Site-specific additions and overrides. See local/README for details.
  #include <local/usr.sbin.tcpdump>
}

如果你嫌配置这个文件麻烦,有一个较为简单省事的方法可以替代。apparmor分成两种模式,一种模式是enforce mode,一种模式是complain mode。前者会严格按照配置规则来控制应用的访问权限,后者不会禁止应用访问文件,但会记录下来。使用命令:

apparmor_status

可以看到每个应用处在什么模式下,比如我的电脑配置如下:

root@ubuntu:~# apparmor_status
apparmor module is loaded.
28 profiles are loaded.
28 profiles are in enforce mode.
   /sbin/dhclient
   /snap/core/10823/usr/lib/snapd/snap-confine
   /snap/core/10823/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /snap/core/10859/usr/lib/snapd/snap-confine
   /snap/core/10859/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /usr/bin/lxc-start
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/lib/lxd/lxd-bridge-proxy
   /usr/lib/snapd/snap-confine
   /usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /usr/sbin/tcpdump
   docker-default
   lxc-container-default
   lxc-container-default-cgns
   lxc-container-default-with-mounting
   lxc-container-default-with-nesting
   snap-update-ns.core
   snap-update-ns.docker
   snap.core.hook.configure
   snap.docker.compose
   snap.docker.docker
   snap.docker.dockerd
   snap.docker.help
   snap.docker.hook.install
   snap.docker.hook.post-refresh
   snap.docker.machine
0 profiles are in complain mode.
3 processes have profiles defined.
3 processes are in enforce mode.
   /sbin/dhclient (1069)
   snap.docker.dockerd (5543)
   snap.docker.dockerd (5618)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.

可以看到snap.docker.dockerd是enforce mode。只需要把它改为complain mode,则就会省去一个个配置的麻烦。使用aa-complain命令可以进行修改,在使用这个命令之前,你需要安装一个工具,如下:

 apt install apparmor-utils

安装好之后,使用下面的命令进行变更:

sudo aa-complain /var/lib/snapd/apparmor/profiles/snap.docker.dockerd

但这里会报错:

Profile for /var/lib/snapd/apparmor/profiles/snap.docker.dockerd not found, skipping

这里感觉像是一个bug。我刚才说了,snap安装的应用配置文件都是放到/var/lib/snapd/apparmor/profiles/目录下,而普通的应用的配置会放到/etc/apparmor.d/目录下,放到/etc/apparmor.d/目录下的会被识别,但是其他的目录的不会被识别,比如同样的一个配置,如果放到/etc/apparmor.d/目录下,则不会报上面的错,把snap.docker.dockerd拷贝到/etc/apparmor.d/目录,然后执行:

sudo aa-complain /etc/apparmor.d/snap.docker.dockerd

结果如下:

执行结束之后,把两个文件打开,比对一下区别。

原来的:

新的:

可以看到新增了一个complain。然后再把/etc/apparmor.d/目录下被修改过的配置文件拷贝到/var/lib/snapd/apparmor/profiles/替换掉原来的,那么这个配置文件就修改成功了。这里我把/var/lib/snapd/apparmor/profiles/目录下的所有配置全部都给修改掉了。使用:

sudo aa-complain /etc/apparmor.d/snap*

可以批量修改所有snap开头的配置。修改之后重启电脑,再使用apparmor_status命令查看,结果如下:

root@ubuntu:~# apparmor_status
apparmor module is loaded.
26 profiles are loaded.
14 profiles are in enforce mode.
   /sbin/dhclient
   /usr/bin/lxc-start
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/lib/lxd/lxd-bridge-proxy
   /usr/lib/snapd/snap-confine
   /usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /usr/sbin/tcpdump
   docker-default
   lxc-container-default
   lxc-container-default-cgns
   lxc-container-default-with-mounting
   lxc-container-default-with-nesting
12 profiles are in complain mode.
   /snap/core/10859/usr/lib/snapd/snap-confine
   /snap/core/10859/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   snap-update-ns.core
   snap-update-ns.docker
   snap.core.hook.configure
   snap.docker.compose
   snap.docker.docker
   snap.docker.dockerd
   snap.docker.help
   snap.docker.hook.install
   snap.docker.hook.post-refresh
   snap.docker.machine
3 processes have profiles defined.
1 processes are in enforce mode.
   /sbin/dhclient (1133)
2 processes are in complain mode.
   snap.docker.dockerd (1218)
   snap.docker.dockerd (1370)
0 processes are unconfined but have a profile defined.

可以看到已经被改掉了,这个时候,再通过snap去启动docker,就没有apparmor相关的报错了。

returnTrue999
关注
手机收不到tiktok的滑块验证,如何解决
**My Coding Family**
01-22 931
🏆本文收录于专栏,主要记录项目实战过程中所遇到的Bug或因后果及提供真实有效的解决方案,希望能够助你一臂之力,帮你早日登顶实现财富自由🚀;同时,欢迎大家!持续更新中,up!up!up!!
apparmor.service服务错: apparmor[405]: /etc/init.d/apparmor: 35: .: Can‘t open /lib/apparmor/functio..
**My Coding Family**
01-22 820
🏆本文收录于专栏,主要记录项目实战过程中所遇到的Bug或因后果及提供真实有效的解决方案,希望能够助你一臂之力,帮你早日登顶实现财富自由🚀;同时,欢迎大家!持续更新中,up!up!up!!
mysql 权限apparmor=“DENIED“问题
Mr Zhang的博客
05-26 486
简单记录下,最近安装一个mysql,但是修改了对应的数据文件的目录,也就是在/etc/mysql修改了对应配置文件修改了datadir 导致mysql无法启动,因为mysql是采用mysql用户启动,非root用户,所以去把的权限赋给mysql用户,大致就是权限都给了之后还是不对,利用查看具体的错误信息,出现类似的错误,开始还有别的目录显示这样,带着应该都是类似的问题。
AppArmor 使用说明
heyongshen的博客
03-25 1157
介绍apparmor基础使用
ubuntu18.04 虚拟机安装的AppArmor 错误
07-16 1537
ubuntu18.04 虚拟机安装的AppArmor 错误 打开虚拟机管理器: $ sudo virt-manager 然后安装 os iso,出现 AppArmor 错误,使用下面的命令解决: $ sudo ln -s /etc/apparmor.d/usr.sbin.libvirtd /etc/apparmor.d/disable/ $ sudo apparmor_parser -R /et...
ubuntu中的apparmor
cooperdoctor的博客
11-14 3113
ubuntu中的apparmorapparmor是什么常用apparmor操作apparmor的工作模式apparmor的配置文件apparmor的适用场景 apparmor是什么 Apparmorubuntu自带的安全工具,可以限制已知应用的能力,控制应用访问文件、目录和网络的能力。具有类似功能的工具还包括selinux、lids,目前selinux、lids和apparmor遵循LSM框架,...
由于AppArmor拦截导致snap程序异常的问题
Linux内核研究者
03-12 868
由于AppArmor拦截导致snap程序异常的问题
ubuntu1604环境下mariadb启动卡住错和apparmor基本使用
久伴你逍遥风的博客
12-14 1771
问题描述:Ubuntu 1604 新环境下使用apt安装的mariadb10版本,结果第二天就起不来了,启动时会卡住,很是郁闷 启动mariadb服务 启动失败,先查看一下状态 肯定也是不正常的,看一下有没有什么错误输出信息 然后再使用这个查看详细一点的错 journalctl -xe 当时就只顾着找error关键字,没在意其他的,后来才注意到这个apparmor=...
Ubuntu由于apparmor配置导致日志文件无法读写
琪花亿草
04-24 3799
在strongswan查看日志的时候,并没有找到在strongswan.conf中配置的日志文件,我的相应配置如下:# strongswan.conf - strongSwan configuration file # # Refer to the strongswan.conf(5) manpage for details # # Configuration changes should be ...
Ubuntu Failed to start Load AppArmor profiles.
weixin_44806374的博客
03-11 5304
移动了mysql数据库的datadir,配套修改了/etc/apparmor.d/usr.sbin.mysqld和/etc/apparmor.d/abstractions/mysql,重启apparmor错: ● apparmor.service - Load AppArmor profiles Loaded: loaded (/lib/systemd/system/apparmor.service; enabled; vendor preset: enabled) Active...
apparmor配置文件:某些应用程序的AppArmor安全配置文件
02-06
"gnome"和"kde-plasma-5"是两种常见的Linux桌面环境,它们的AppArmor配置文件可能是为了确保这些环境下的应用程序安全。"applications"则暗示配置文件覆盖了多个应用程序。"sandboxing"是AppArmor的核心功能,通过...
ubuntu16.0.4下修改MySQL的data目录之mysqld启动
aigexian4976的博客
01-12 739
由于需要更换MySQL的data目录,更改完成后启动错如下: apparmor="DENIED" operation="mknod" profile="/usr/sbin/mysqld"name="/var/lib/mysql/ibdata1" pid=19775 comm="mysqld" requested_mask="c" denied_mask="c" fsuid=105...
docker容器启动时会 socket permission denied或者listen tcp port failed 等错误的原因
u014062332的专栏
08-27 5587
最近在deepin系统上装了个snap,应该是给启用了apparmor这个东东,导致原本运行正常的docker 容器在在使用socket监听网络端口时会 socket permission denied或者 listen tcp port xxx:failed的错误 排查了好久才找到蛛丝马迹,可能是和apparmor这个linux安全策略软件系统有关,由于时间关系没有仔细去研究这个玩意儿, ...
Ubuntu20.04死机,任何按键无反应
harrylyon2020的博客
03-24 4200
问题遇到的现象和发生背景: 系统版本Linux mrlyon-J3160MP 5.13.0-37-generic #42~20.04.1-Ubuntu SMP Tue Mar 15 15:44:28 UTC 2022 x86_64 x86_64 x86_64 GNU/Linux 由于无法更新edge,然后就在删除软件后,打开应用商店的时界面卡死,无任何反应 Mar 24 04:59:41 mrlyon-J3160MP systemd[984]: Starting Tracker metadata datab
ubuntun系统mysql数据库同步_解决ubuntu 16.04下更改MySQL的数据库位置
weixin_39611754的博客
12-21 134
-- Unit mysql.service has begun starting up.Aug 20 10:16:50 AY130422143404983ad9 audit[8762]: AVC apparmor="DENIED" operation="open" profile="/usr/sbin/mysqld" name="/proc/8762/status" pid=8762 comm="...
apparmor命令总结
m0_50602863的博客
02-20 4109
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
ubuntu启动mysql服务端_强制重启Ubuntu服务器后Mysql无法启动
weixin_39988476的博客
12-19 392
强制重启服务器后启动mysql不断错误“code=exited“,”failed“,系统建议我执行”systemctl status mysql.service“,执行后什么信息都看不出来,只好找下系统日志看看:cat /var/log/syslog看到了一句有用信息:apparmor="DENIED" operation="open" profile="/usr/sbin/mysqld" na...
ubuntu mysql无法启动服务器_强制重启Ubuntu服务器后Mysql无法启动
weixin_39550587的博客
01-19 254
强制重启服务器后启动mysql不断错误“code=exited“,”failed“,系统建议我执行”systemctl status mysql.service“,执行后什么信息都看不出来,只好找下系统日志看看:cat /var/log/syslog看到了一句有用信息:apparmor="DENIED" operation="open" profile="/usr/sbin/mysqld" na...
查看apparmor 成功失败日志
最新发布
04-04
<think>嗯,用户想了解如何查看AppArmor的成功和失败日志。首先,我需要回忆一下AppArmor的基本知识。AppArmor是一个Linux内核的安全模块,用于限制程序的功能。它通过配置文件来定义应用程序的访问权限,比如文件、网络等。当应用程序违反这些规则时,AppArmor会记录日志,这对系统管理员来说非常重要,可以用来排查问题或调整策略。 用户之前询问过关于用Python脚本测试D-Bus消息发送的问题,现在转向AppArmor日志,可能是在进行系统安全相关的开发或维护,比如调试某个被AppArmor限制的应用。需要确定用户的使用场景,可能是他们遇到了某些权限被拒绝的问题,需要查看日志来确认是否是AppArmor引起的。 接下来,我需要整理查看AppArmor日志的方法。通常,这些日志会记录在系统日志中,比如/var/log/syslog或/var/log/auth.log,具体取决于发行版的配置。可能需要使用grep命令过滤出AppArmor相关的条目,比如使用“apparmor”或“DENIED”作为关键字。另外,dmesg命令也可以查看内核日志,可能会有AppArmor的拒绝信息。 另外,用户可能需要区分成功和失败的日志。失败日志通常包含“DENIED”或“audit”关键字,而成功加载配置的信息可能用“ALLOWED”或“loaded”等。需要具体说明如何识别这些信息。 还要考虑不同Linux发行版的差异,比如Ubuntu和CentOS的日志位置可能不同,可能需要提示用户根据实际情况调整路径。此外,AppArmor的状态管理命令,如apparmor_status,也可能对用户有帮助,可以检查哪些配置文件处于执行模式。 用户可能还需要知道如何实时监控日志,比如使用tail -f命令,或者如何调整日志的详细程度,比如通过auditd配置。如果有时间的话,可以给出一些实际例子,比如查看某个特定应用的日志,或者如何解决常见的权限问题。 需要注意的是,用户可能对命令行操作不太熟悉,所以步骤需要详细,命令要准确。同时,可能还要提醒用户权限问题,比如查看日志可能需要sudo权限。 最后,要确保回答结构清晰,分步骤说明,可能包括日志位置、查看方法、过滤关键字、示例输出、常见问题解决等部分。如果有相关的进阶技巧,比如使用工具解析日志或调整AppArmor配置文件,也可以简要提及。</think>--- ### **AppArmor 日志查看指南** AppArmor 是 Linux 内核的安全模块,用于限制应用程序的权限。其日志记录了策略加载、权限拒绝等关键事件。以下是查看成功与失败日志的详细方法: --- #### **1. 日志文件位置** AppArmor 日志通过内核审计系统(`auditd`)或系统日志(`syslog`)记录,具体路径取决于系统配置: | 日志类型 | 路径 | 适用场景 | |----------------|---------------------------------|------------------------------| | **系统日志** | `/var/log/syslog` | Ubuntu/Debian 默认日志 | | | `/var/log/messages` | CentOS/RHEL 默认日志 | | **审计日志** | `/var/log/audit/audit.log` | 启用 `auditd` 服务的系统 | --- #### **2. 查看失败日志(权限拒绝)** 失败日志通常包含 `DENIED` 或 `audit` 关键字,反映应用程序违反策略的操作。 **命令示例**: ```bash # 查看 syslog 中的拒绝记录 sudo grep "apparmor.*DENIED" /var/log/syslog # 查看 audit.log 中的拒绝记录 sudo grep "apparmor.*DENIED" /var/log/audit/audit.log # 使用 dmesg 直接查看内核日志 dmesg | grep apparmor | grep denied ``` **输出示例**: ``` apparmor="DENIED" operation="open" profile="/usr/sbin/nginx" name="/etc/secret.txt" pid=1234 comm="nginx" requested_mask="r" denied_mask="r" fsuid=0 ouid=0 ``` - **关键字段解释**: - `profile`:触发的 AppArmor 策略名称(如 `/usr/sbin/nginx`)。 - `operation`:被拒绝的操作类型(如 `open`, `exec`, `network`)。 - `name`:被访问的资源路径(如 `/etc/secret.txt`)。 - `denied_mask`:拒绝的权限(如 `r` 表示读权限)。 --- #### **3. 查看成功日志(策略加载/允许)** 成功日志包含策略加载或权限允许事件,关键字为 `ALLOWED` 或 `loaded`。 **命令示例**: ```bash # 查看已加载的策略 sudo apparmor_status # 查看策略加载日志 sudo grep "apparmor.*loaded" /var/log/syslog # 查看允许的操作(需策略开启日志) sudo grep "apparmor.*ALLOWED" /var/log/syslog ``` **输出示例**: ``` apparmor="STATUS" operation="profile_load" name="/usr/sbin/nginx" pid=5678 comm="apparmor_parser" ``` - **关键字段解释**: - `profile_load`:表示策略文件已成功加载。 - `name`:加载的策略名称(如 `/usr/sbin/nginx`)。 --- #### **4. 实时监控日志** 动态跟踪 AppArmor 事件: ```bash # 监控 syslog(Ubuntu/Debian) sudo tail -f /var/log/syslog | grep apparmor # 监控 audit.log(CentOS/RHEL) sudo tail -f /var/log/audit/audit.log | grep apparmor ``` --- #### **5. 常见问题排查** | 问题现象 | 解决方案 | |--------------------------|--------------------------------------------------------------------------| | **日志无输出** | 确认 AppArmor 是否启用:`sudo systemctl status apparmor` | | | 检查策略是否设置为 `enforce` 模式:`sudo aa-enforce /path/to/profile` | | **权限拒绝但无日志** | 确保策略未配置 `deny` 静默规则,或检查 `auditd` 服务是否运行正常 | | **日志量过大** | 调整策略的日志级别:在配置文件中添加 `audit` 或 `quiet` 关键字 | --- #### **6. 进阶调试** - **自定义日志规则**: 在 AppArmor 策略文件中指定日志行为: ```bash # 记录所有拒绝事件(即使策略默认允许) audit /etc/secret.txt r, # 仅记录特定操作的允许 /var/log/nginx/* w log, ``` - **解析审计日志**: 使用 `ausearch` 工具解析审计事件: ```bash sudo ausearch -m avc -ts recent | grep apparmor ``` --- ### **总结** 通过上述方法,您可以快速定位 AppArmor 的权限问题: 1. **失败日志** → 修复策略或调整应用程序行为。 2. **成功日志** → 验证策略是否按预期加载。 3. **实时监控** → 动态调试敏感操作。 若需调整策略,请参考日志中的 `name` 和 `denied_mask` 字段修改配置文件(通常位于 `/etc/apparmor.d/`)。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值