由于AppArmor拦截导致snap程序异常的问题

已于 2023-03-12 11:03:30 修改
阅读量479 收藏 1
点赞数
分类专栏: Linux程序员 文章标签: ubuntu linux
于 2023-03-12 07:41:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47763623/article/details/129471754
版权

如果dmesg可以看到如下的审计信息, 则说明是AppArmor拦截的snap应用, 关键信息apparmor="DENIED"

audit: type=1400 audit(1431384420.408:319): apparmor="DENIED" operation="mkdir" profile="snap.foo.bar" name="/var/lib/foo" pid=637 comm="bar" requested_mask="c" denied_mask="c" fsuid=0 ouid=0

修改apparmor的配置文件放过拒绝的文件即可name="/var/lib/foo", 这里即是被拒绝的文件

需要注意的是, snap应用和普通程序(例如apt安装的程序)的配置文件路径不同

snap应用的apparmor配置文件在/var/lib/snapd/apparmor/profiles/目录
普通程序的apparmor配置文件在/etc/apparmor.d/目录

配置文件的名称一般是可执行程序的全路径, 把/替换成了.

修改配置文件, 找到类似/usr/bin/xxx {开头的地方, 在{后添加规则

/var/lib/foo rw,

使用apparmor_parser命令, 重新加载配置文件即可

sudo apparmor_parser -r 配置文件路径

apparmor的配置文件还是挺复杂的, 详细配置见参考资料

参考资料

配置文件组件和语法
Debugging snaps
apparmor_parser - loads AppArmor profiles into the kernel

内核程序员kevin
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解决ubuntu环境下报apparmor=“DENIEDoperation=“exec“之类的错误
暮暮苒也的博客
02-08 1642
apparmor的权限规则一般默认放在/etc/apparmor.d/目录下,比如tcpdump的规则存放在该目录下的usr.sbin.tcpdump下,其内容有固定的格式,它相当于白名单,规定了该应用对于目录的访问权限。应用要想访问某个目录,则必须在这个文件里加上权限,否则就会报错,比如使用下面的命令: 重启某个服务,这里以docker为例 systemctl restart snap.docker.dockerd 查看日志 journalctl -xe 如果权限不足,会查到报错信息如下: Mar 04
apparmor mysql_16.04 – 由于AppArmor,MySQL无法启动?
weixin_36480510的博客
03-03 462
我正在尝试在Kubuntu 16.04上安装mysql-server-5.7,但我遇到了麻烦.sudo apt install mysql-server提供以下输出.Setting up mysql-server-5.7 (5.7.18-0ubuntu0.16.04.1) ...Renaming removed key_buffer and myisam-recover options (if p...
mysql 权限apparmor=“DENIED问题
最新发布
Mr Zhang的博客
05-26 220
简单记录下,最近安装一个mysql,但是修改了对应的数据文件的目录,也就是在/etc/mysql修改了对应配置文件修改了datadir 导致mysql无法启动,因为mysql是采用mysql用户启动,非root用户,所以去把的权限赋给mysql用户,大致就是权限都给了之后还是不对,利用查看具体的错误信息,出现类似的错误,开始还有别的目录显示这样,带着应该都是类似的问题
杂文(9):Ubuntu16.04下的AppArmor中,aa-complain 或 aa-enforce 提示profile for #{profile_name} not found 的问题
画舸覆堤
03-04 638
今天遇到一个问题:在ubuntu上安装snap.XXXX.run格式的程序后,修改enforce mode到complain mode不成功。 [Resolved] Can’t put Apparmor profiles in enforce mode 根据这里面HuangLao的回答:AppArmor profiles should live in /etc/apparmor.d/. Amazon-ssm-agent AppArmor profile not allowing “enforce” mode
ubuntu1604环境下mariadb启动卡住报错和apparmor基本使用
久伴你逍遥风的博客
12-14 1615
问题描述:Ubuntu 1604 新环境下使用apt安装的mariadb10版本,结果第二天就起不来了,启动时会卡住,很是郁闷 启动mariadb服务 启动失败,先查看一下状态 肯定也是不正常的,看一下有没有什么错误输出信息 然后再使用这个查看详细一点的报错 journalctl -xe 当时就只顾着找error关键字,没在意其他的,后来才注意到这个apparmor=...
kubevirt v0.47.1 错误解决
eif88的博客
12-01 451
1. virt-handler Init:CrashLoopBackOff 环境:ubuntu 18.04, kubevirt v0.47.1 节点错误日志: kernel: [ 249.963567] audit: type=1400 audit(1638348023.680:69): apparmor="DENIED" operation="exec" profile="/usr/sbin/libvirtd" name="/usr/libexec/qemu-kvm" pid=12096 comm="r
云原生|kubernetes|apparmor的配置和使用
zsk_john的技术分享专用博客
01-12 2246
AppArmor(Application Armor)是Linux内核的一个安全模块,AppArmor允许系统管理员将每个程序与一个安全配置文件关联,从而限制程序的功能。简单的说,AppArmor是与SELinux类似的一个访问控制系统,通过它你可以指定程序可以读、写或运行哪些文件,是否可以打开网络端口等。作为对传统Unix的自主访问控制模块的补充,AppArmor提供了强制访问控制机制,它已经被整合到2.6版本的Linux内核中。
apparmor配置文件:某些应用程序AppArmor安全配置文件
02-06
标题中提到的"apparmor配置文件"是指为特定应用程序定制的安全策略文件,这些文件通常位于`/etc/apparmor.d`目录下,用ASCII文本格式编写,包含了一系列规则来定义程序可以访问哪些文件、网络资源和其他系统接口。...
apparmor:apparmor厨师食谱的开发存储库
02-06
Apparmor食谱 默认配方将安装和管理AppArmor服务,或者根据default['apparmor']['disable']属性禁用和删除AppArmor。 还包括用于管理AppArmor策略的自定义资源(LWRP)。要求平台类的Ubuntu 德比安厨师厨师12.7+食谱...
docker-sec:Docker容器的自动AppArmor管理
05-09
Docker容器的自动AppArmor管理 用法 要使用docker-sec,只需通过添加后缀-sec即可使用docker命令。 例如,要启动新容器,请运行以下命令: docker-sec run --name safe-nginx -p 80:80 nginx 要使用docker-sec用户...
apparmor-docker
05-28
在主机上加载Docker的AppArmor配置文件 用法: docker run -v /sys/kernel/security:/sys/kernel/security --privileged --rm -t ewindisch/apparmor 内核配置 机器必须具有可用并已配置的AppArmor模块。 主机上不...
apparmor-profiles
04-16
AppArmor配置文件 这是我创建的AppArmor配置文件的集合。 我的概要文件都没有使用基本系统抽象。 “抽象”用于我的自定义抽象。 可能很少,但是我主要是使它们具有强化的权限,而无需在每个配置文件中复制粘贴相同...
怎么安装mysql服务报错_安装mysql报错。
weixin_34480323的博客
02-12 252
@wendal 大叔 我执行 apt-get remove mysql 又把mysql文件夹删掉 之后重新装了一遍 看着没报错 但是/etc/init.d/mysql 却没了。。 神马情况?oot@JD:/workspace/software/mysql# dpkg -i *.deb(Reading database ... 78594 files and directories currentl...
系统应用配置文件读写权限
qq_38996911的博客
05-11 3020
问题: 内置系统应用,出现failed path:/dev/socket/mdnsd Socket:54 Err:-1 Errno:2 No such file or directory type=1400 audit(0.0:150): avc: denied { write } for name=“com.kandaovr.meeting.screenshare-NTGJvDIA-a15t2RsCWVMQg==” dev=“dm-2” ino=794626 scontext=u:r:system_ap
Ubuntu由于apparmor配置导致日志文件无法读写
琪花亿草
04-24 3652
在strongswan查看日志的时候,并没有找到在strongswan.conf中配置的日志文件,我的相应配置如下:# strongswan.conf - strongSwan configuration file # # Refer to the strongswan.conf(5) manpage for details # # Configuration changes should be ...
定制ARM 版本的ubuntu core (16.04)
热门推荐
Qing的专栏
09-25 1万+
1.  先从snap 包讲起 ubuntu core 基本上是诸多snap 包堆积起来的一个系统,正如传统的ubuntu 是debian 堆积起来的一样。但不同的是ubuntu core 也是一个snap 包, 甚至 kernel, uboot 也分别是一个snap 包。因此,就让我们先 了解下snap 包 是个甚么东东吧。 1.1 什么是snap ? A snap : is a s...
[笔记]重新加载apparmor服务
BLOCKGOLD.E的博客
09-12 2463
16.04 MySQL将不会启动,因为 AppArmor? 文章标签:apparmorSTA 问题: 我正在 Kubuntu 16.04上安装 mysql-server-5.7,但我是 Having的麻烦。 sudo apt install mysql-server 给出以下输出。 Setting up mysql-server-5.7 (5.7.18-0ubuntu0...
Linux Security Framework -- Apparmor机制介绍
少帅的天空
09-05 1万+
AppArmor 是一个类似于selinux 的东东,主要的作用是设置某个可执行程序的访问控制权限,可以限制程序 读/写某个目录/文件,打开/读/写网络端口等等。     Novell给出的Apparmor的解释: AppArmor is designed to provide easy-to-use application security for both
apparmor-utils 离线包
06-01
如果你需要在没有互联网连接的情况下安装apparmor-utils,可以通过以下步骤下载离线安装包: 1. 在另一台连接互联网的计算机上,打开终端。 2. 运行以下命令下载apparmor-utils的离线包: ``` apt-get download apparmor-utils ``` 3. 等待下载完成,将生成一个名为“apparmor-utils_x.x.x-xx_amd64.deb”的文件,其中x.x.x-xx是版本号。 4. 将该文件复制到需要安装apparmor-utils的计算机上。 5. 在需要安装apparmor-utils的计算机上,打开终端,以root身份登录系统。 6. 运行以下命令进行安装: ``` dpkg -i apparmor-utils_x.x.x-xx_amd64.deb ``` 7. 安装完成后,就可以使用apparmor-utils工具了。 请注意,离线安装可能会导致依赖项问题。如果有依赖项问题,你需要手动解决这些问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值