解决ubuntu环境下报apparmor=“DENIED“ operation=“exec“之类的错误

已于 2022-02-08 10:37:52 修改
阅读量1.6k 收藏 2
点赞数
文章标签: ubuntu linux
于 2022-02-08 10:32:35 首次发布
原文链接:https://blog.csdn.net/dap769815768/article/details/114369686
版权

apparmor的权限规则一般默认放在/etc/apparmor.d/目录下,比如tcpdump的规则存放在该目录下的usr.sbin.tcpdump下,其内容有固定的格式,它相当于白名单,规定了该应用对于目录的访问权限。应用要想访问某个目录,则必须在这个文件里加上权限,否则就会报错,比如使用下面的命令:

重启某个服务,这里以docker为例

systemctl restart snap.docker.dockerd

查看日志

journalctl -xe

如果权限不足,会查到报错信息如下:

Mar 04 14:43:17 ubuntu audit[5657]: AVC apparmor="DENIED" operation="ptrace" profile="snap.docker.dockerd" pid=5657 comm="ps" requested_mask="trace" denied_mask="trace" peer="/sbin/dhclient"

这个时候你就需要修改snap.docker.dockerd,但这里要注意这个文件不是放在/etc/apparmor.d/目录里的,因为对于snap安装的应用,它们的配置会放到/var/lib/snapd/apparmor/profiles/目录里,它的格式是下面这样的(以tcpdump为例):

# vim:syntax=apparmor
# Last Modified: Wed Feb  3 07:58:30 2009
# Author: Jamie Strandboge <jamie@canonical.com>
#include <tunables/global>
 
/usr/sbin/tcpdump {
  #include <abstractions/base>
  #include <abstractions/nameservice>
  #include <abstractions/user-tmp>
 
  capability net_raw,
  capability setuid,
  capability setgid,
  capability dac_override,
  network raw,
  network packet,
 
  # for -D
  capability sys_module,
  @{PROC}/bus/usb/ r,
  @{PROC}/bus/usb/** r,
 
  # for finding an interface
  @{PROC}/[0-9]*/net/dev r,
  /sys/bus/usb/devices/ r,
  /sys/class/net/ r,
  /sys/devices/**/net/* r,
 
  # for -j
  capability net_admin,
 
  # for tracing USB bus, which libpcap supports
  /dev/usbmon* r,
  /dev/bus/usb/ r,
  /dev/bus/usb/** r,
 
  # for init_etherarray(), with -e
  /etc/ethers r,
 
  # for USB probing (see libpcap-1.1.x/pcap-usb-linux.c:probe_devices())
  /dev/bus/usb/**/[0-9]* w,
  # for -z
  /{usr/,}bin/gzip ixr,
  /{usr/,}bin/bzip2 ixr,
 
  # for -F and -w
  audit deny @{HOME}/.* mrwkl,
  audit deny @{HOME}/.*/ rw,
  audit deny @{HOME}/.*/** mrwkl,
  audit deny @{HOME}/bin/ rw,
  audit deny @{HOME}/bin/** mrwkl,
  owner @{HOME}/ r,
  owner @{HOME}/** rw,
 
  # for -r, -F and -w
  /**.[pP][cC][aA][pP] rw,
  # for convenience with -r (ie, read pcap files from other sources)
  /var/log/snort/*log* r,
  /usr/sbin/tcpdump mr,
 
  # Site-specific additions and overrides. See local/README for details.
  #include <local/usr.sbin.tcpdump>
}

如果你嫌配置这个文件麻烦,有一个较为简单省事的方法可以替代。apparmor分成两种模式,一种模式是enforce mode,一种模式是complain mode。前者会严格按照配置规则来控制应用的访问权限,后者不会禁止应用访问文件,但会记录下来。使用命令:

apparmor_status

可以看到每个应用处在什么模式下,比如我的电脑配置如下:

root@ubuntu:~# apparmor_status
apparmor module is loaded.
28 profiles are loaded.
28 profiles are in enforce mode.
   /sbin/dhclient
   /snap/core/10823/usr/lib/snapd/snap-confine
   /snap/core/10823/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /snap/core/10859/usr/lib/snapd/snap-confine
   /snap/core/10859/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /usr/bin/lxc-start
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/lib/lxd/lxd-bridge-proxy
   /usr/lib/snapd/snap-confine
   /usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /usr/sbin/tcpdump
   docker-default
   lxc-container-default
   lxc-container-default-cgns
   lxc-container-default-with-mounting
   lxc-container-default-with-nesting
   snap-update-ns.core
   snap-update-ns.docker
   snap.core.hook.configure
   snap.docker.compose
   snap.docker.docker
   snap.docker.dockerd
   snap.docker.help
   snap.docker.hook.install
   snap.docker.hook.post-refresh
   snap.docker.machine
0 profiles are in complain mode.
3 processes have profiles defined.
3 processes are in enforce mode.
   /sbin/dhclient (1069)
   snap.docker.dockerd (5543)
   snap.docker.dockerd (5618)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.

可以看到snap.docker.dockerd是enforce mode。只需要把它改为complain mode,则就会省去一个个配置的麻烦。使用aa-complain命令可以进行修改,在使用这个命令之前,你需要安装一个工具,如下:

apt install apparmor-utils
安装好之后,使用下面的命令进行变更:

sudo aa-complain /var/lib/snapd/apparmor/profiles/snap.docker.dockerd

但这里会报错:

Profile for /var/lib/snapd/apparmor/profiles/snap.docker.dockerd not found, skipping

这里感觉像是一个bug。我刚才说了,snap安装的应用配置文件都是放到/var/lib/snapd/apparmor/profiles/目录下,而普通的应用的配置会放到/etc/apparmor.d/目录下,放到/etc/apparmor.d/目录下的会被识别,但是其他的目录的不会被识别,比如同样的一个配置,如果放到/etc/apparmor.d/目录下,则不会报上面的错,把snap.docker.dockerd拷贝到/etc/apparmor.d/目录,然后执行:

sudo aa-complain /etc/apparmor.d/snap.docker.dockerd

结果如下:
在这里插入图片描述
执行结束之后,把两个文件打开,比对一下区别。

原来的:
在这里插入图片描述
新的:
在这里插入图片描述
可以看到新增了一个complain。然后再把/etc/apparmor.d/目录下被修改过的配置文件拷贝到/var/lib/snapd/apparmor/profiles/替换掉原来的,那么这个配置文件就修改成功了。这里我把/var/lib/snapd/apparmor/profiles/目录下的所有配置全部都给修改掉了。使用:

sudo aa-complain /etc/apparmor.d/snap*

可以批量修改所有snap开头的配置。修改之后重启电脑,再使用apparmor_status命令查看,结果如下:

root@ubuntu:~# apparmor_status
apparmor module is loaded.
26 profiles are loaded.
14 profiles are in enforce mode.
   /sbin/dhclient
   /usr/bin/lxc-start
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/lib/lxd/lxd-bridge-proxy
   /usr/lib/snapd/snap-confine
   /usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /usr/sbin/tcpdump
   docker-default
   lxc-container-default
   lxc-container-default-cgns
   lxc-container-default-with-mounting
   lxc-container-default-with-nesting
12 profiles are in complain mode.
   /snap/core/10859/usr/lib/snapd/snap-confine
   /snap/core/10859/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   snap-update-ns.core
   snap-update-ns.docker
   snap.core.hook.configure
   snap.docker.compose
   snap.docker.docker
   snap.docker.dockerd
   snap.docker.help
   snap.docker.hook.install
   snap.docker.hook.post-refresh
   snap.docker.machine
3 processes have profiles defined.
1 processes are in enforce mode.
   /sbin/dhclient (1133)
2 processes are in complain mode.
   snap.docker.dockerd (1218)
   snap.docker.dockerd (1370)
0 processes are unconfined but have a profile defined.

可以看到已经被改掉了,这个时候,再通过snap去启动docker,就没有apparmor相关的报错了。

原文链接:https://blog.csdn.net/dap769815768/article/details/114369686

暮暮苒也
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
apparmorapparmor厨师食谱的开发存储库
02-06
要求平台类的Ubuntu 德比安厨师厨师12.7+食谱没有属性default['apparmor']['disable'] :控制在default.rb配方中安装或删除apparmor服务。 默认值为false,这将安装apparmor,启动服务并启用该服务。菜谱default.rb ...
mysql数据库中1045错误解决方法
09-08
7. **SELinux或AppArmor**:在某些Linux发行版中,如Ubuntu,SELinux或AppArmor可能会阻止MySQL的正常运行。检查其策略设置,确保MySQL服务不受限制。 通过以上步骤,大部分情况下可以解决MySQL的1045错误。然而,...
关于ubuntu apparmor的关闭
qq_63527808的博客
04-05 1551
【代码】关于ubuntu apparmor的关闭。
由于AppArmor拦截导致snap程序异常的问题
Linux内核研究者
03-12 479
由于AppArmor拦截导致snap程序异常的问题
mysql 权限apparmor=“DENIED“问题
最新发布
Mr Zhang的博客
05-26 220
简单记录下,最近安装一个mysql,但是修改了对应的数据文件的目录,也就是在/etc/mysql修改了对应配置文件修改了datadir 导致mysql无法启动,因为mysql是采用mysql用户启动,非root用户,所以去把的权限赋给mysql用户,大致就是权限都给了之后还是不对,利用查看具体的错误信息,出现类似的错误,开始还有别的目录显示这样,带着应该都是类似的问题。
Ubuntu 上配置 AppArmor 实现强制访问控制(MAC)
hanningxue的博客
09-19 4484
前言      随着云计算的发展,Linux 发行版像 RHEL、Debian、Ubuntu、SUSE 开始广泛的被使用,在很多新上手的用户可能会查看相关教程或者一键包,一般这些教程、一键包的开头第一件事情可能是升级软件,第二件事情就可能是关闭 SELinux 或 AppArmor,那这两个软件是不是真的就那么影响系统使用吗?这两个软件有什么用?    先说是不是      S
Ubuntu中下载安装AppArmor相关组件
phmatthaus的专栏
04-20 599
Ubuntu中下载安装AppArmor相关组件
ubuntu1604环境下mariadb启动卡住错和apparmor基本使用
久伴你逍遥风的博客
12-14 1615
问题描述:Ubuntu 1604 新环境下使用apt安装的mariadb10版本,结果第二天就起不来了,启动时会卡住,很是郁闷 启动mariadb服务 启动失败,先查看一下状态 肯定也是不正常的,看一下有没有什么错误输出信息 然后再使用这个查看详细一点的错 journalctl -xe 当时就只顾着找error关键字,没在意其他的,后来才注意到这个apparmor=...
MacOS无法挂载NFS Operation not permitted错误解决办法
01-20
在使用MacOS操作系统时,有时候会遇到尝试挂载NFS(Network File System)共享时遇到“Operation not permitted”错误的情况。这通常是由于安全策略、权限设置或者网络配置问题导致的。以下是一些解决该问题的方法。...
Ubuntu下完美实现迁移MySQL数据库位置
09-10
本文将详细讲解如何在Ubuntu环境下完美地迁移MySQL数据库至新的挂载点,确保服务的稳定运行。 首先,为了保障迁移过程中的数据安全,你需要创建一个新的目录作为MySQL数据库的新家。假设你的新挂载点是 `/media/hdb...
Ubuntu 14.04下mysql安装配置教程
09-10
在某些情况下,我们需要Apache(Ubuntu 14.04默认使用Apache2)与MySQL协同工作。为此,需要安装`libapache2-mod-auth-mysql`模块,通过输入`sudo apt-get install libapache2-mod-auth-mysql`来实现。安装后,...
ubuntu启动mysql服务端_强制重启Ubuntu服务器后Mysql无法启动
weixin_39988476的博客
12-19 314
强制重启服务器后启动mysql不断错误“code=exited“,”failed“,系统建议我执行”systemctl status mysql.service“,执行后什么信息都看不出来,只好找下系统日志看看:cat /var/log/syslog看到了一句有用信息:apparmor="DENIED" operation="open" profile="/usr/sbin/mysqld" na...
ubuntu中的apparmor
cooperdoctor的博客
11-14 2774
ubuntu中的apparmorapparmor是什么常用apparmor操作apparmor的工作模式apparmor的配置文件apparmor的适用场景 apparmor是什么 Apparmorubuntu自带的安全工具,可以限制已知应用的能力,控制应用访问文件、目录和网络的能力。具有类似功能的工具还包括selinux、lids,目前selinux、lids和apparmor遵循LSM框架,...
Docker 生产环境之安全性 - 适用于 Docker 的 AppArmor 安全配置文件
kikajack的博客
03-17 4320
原文地址AppArmor(Application Armor,应用程序防护)是一个 Linux 安全模块,可保护操作系统及其应用程序免受安全威胁。要使用它,系统管理员会将 AppArmor 安全配置文件与每个程序相关联。Docker 希望找到加载并执行的 AppArmor 策略。Docker 自动为容器生成并加载名为 docker-default 的默认配置文件。在 Docker 1.13.0 和更
kubernetes apparmor 语法
爱死亡机器人
08-11 194
AppArmor 策略是使用管理员友好的配置文件语言创建的,然后将其编译为二进制策略以加载到内核中。AppArmor 策略存储在中的一组文件中。AppArmor 策略分为配置文件,这些配置文件通常旨在限制特定的应用程序。配置文件将声明访问规则以允许访问资源,并且当配置文件中没有匹配规则时,通过日志记录隐式拒绝访问。配置文件以配置文件名称开头,后跟可选标志字段,然后是开头{后跟配置文件规则,并以结束}配置文件名称可以包含文件规则通配符,以允许它们应用于多个可执行文件。...
解决tcpdump sudo权限下Permission denied
boy198332的专栏
05-06 7604
在新装的ubuntu server上脚本调用了tcpdump的命令进行抓包并保存致本地文件,当使用命令sudo tcpdump -i eth3 -w eth3_dump.pcap 的时候,出现错误: $ sudo tcpdump -i eth3 -s 0 -w test_eth3.pcap tcpdump: test_eth3.pcap: Permission denied 本地帐户
云原生|kubernetes|apparmor的配置和使用
zsk_john的技术分享专用博客
01-12 2246
AppArmor(Application Armor)是Linux内核的一个安全模块,AppArmor允许系统管理员将每个程序与一个安全配置文件关联,从而限制程序的功能。简单的说,AppArmor是与SELinux类似的一个访问控制系统,通过它你可以指定程序可以读、写或运行哪些文件,是否可以打开网络端口等。作为对传统Unix的自主访问控制模块的补充,AppArmor提供了强制访问控制机制,它已经被整合到2.6版本的Linux内核中。
解决AppArmor启动失败.
热门推荐
HeyBoyGirl的博客
10-10 1万+
原本apparmor已经启动运行着,执行restart的时候却失败。 使用systemctl status apparmor.service查看,显示如下内容: *● apparmor.service - LSB: AppArmor initialization Loaded: loaded (/etc/init.d/apparmor; bad; vendor preset: enabled...
ubuntu18 安装mariadb start 失败
blackcat88的博客
10-21 801
第一步:下载安装 sudo apt install mariadb-server 第二步:开启 发现 apparmor权限问题 AppArmor 是一款与SeLinux类似的安全框架/工具,其主要作用是控制应用程序的各种权限,例如对某个目录/文件的读/写,对网络端口的打开/读/写等等。 在Ubuntu下通过命令sudo apparmor_status可以查看当前AppArm...
区分并举例nginx在Ubuntu20.04中apparmor配置文件和Ubuntu20.04中docker启用apparmor下配置文件,并比较其优缺点
05-10
1. Nginx在Ubuntu20.04中的AppArmor配置文件 在Ubuntu 20.04中,Nginx的AppArmor配置文件位于/etc/apparmor.d/usr.sbin.nginx。该文件定义了Nginx进程可以访问的文件和目录,以及可以执行的操作。例如,以下是默认的/usr/sbin/nginx AppArmor配置文件的部分内容: ``` /usr/sbin/nginx { ... # Allow read access to all file systems. # This allows Nginx to read static files and logs. / r, /sys/devices/system/cpu/ r, /sys/devices/system/cpu/** r, /proc/stat r, /proc/meminfo r, /proc/loadavg r, /etc/nginx/ r, /etc/nginx/** r, /etc/nginx/sites-enabled/ r, /etc/nginx/sites-enabled/* r, /usr/share/nginx/html/ r, /var/log/nginx/access.log w, /var/log/nginx/error.log w, /run/nginx.pid rw, ... } ``` 该配置文件允许Nginx访问一些必要的系统文件和目录,例如/proc和/sys目录,以及Nginx的配置文件和日志文件。 2. Ubuntu20.04中Docker启用AppArmor下的配置文件 在Ubuntu 20.04中,Docker默认启用AppArmor来限制容器的权限。Docker的AppArmor配置文件位于/etc/apparmor.d/docker-DEFAULT。该文件定义了Docker容器可以访问的文件和目录,以及可以执行的操作。例如,以下是默认的docker-DEFAULT AppArmor配置文件的部分内容: ``` ... # Allow read access to containers image and registry files. # Use subdirectories to make sure rslave is applied on existing directories /var/lib/docker/ r, /var/lib/docker/** rwk, /var/lib/containerd/ r, /var/lib/containerd/** rwk, /etc/docker/ r, /etc/docker/** r, # Allow rslave on container directories in case the user wants to bind mount them /var/lib/docker/*/ rslave, /var/lib/docker/*/*/ rslave, /var/lib/docker/*/*/*/ rslave, /var/lib/docker/*/*/*/*/ rslave, /var/lib/docker/*/*/*/*/*/ rslave, # Allow containerd to manage its own state /run/containerd/ r, /run/containerd/** rwk, ... ``` 该配置文件允许Docker容器访问一些必要的系统文件和目录,例如/var/lib/docker目录和/etc/docker目录,以及容器需要读取或写入的文件。 3. 优缺点比较 Nginx在Ubuntu20.04中的AppArmor配置文件和Ubuntu20.04中Docker启用AppArmor下的配置文件有以下优缺点: 优点: Nginx AppArmor配置文件: - 可以更加精细地控制Nginx进程的访问权限; - 不会影响其他进程的权限。 Docker AppArmor配置文件: - 可以更好地保护主机系统免受恶意容器的攻击; - 可以更容易地管理多个容器的权限; - 可以更容易地移植Docker容器到其他系统。 缺点: Nginx AppArmor配置文件: - 需要手动编辑,可能需要一些技术知识; - 可能无法完全保护主机系统免受Nginx进程的攻击。 Docker AppArmor配置文件: - 可能会限制容器的功能,例如无法访问某些文件或目录; - 可能会增加管理的复杂性,需要更多的配置和管理工作。 总的来说,Nginx在Ubuntu20.04中的AppArmor配置文件更适合单独控制Nginx进程的权限,而Docker启用AppArmor下的配置文件更适合保护主机系统免受Docker容器的攻击。具体使用哪种方式取决于实际需求和应用场景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值