Понимание сообщений журнала AppArmo r - proUbuntu
0 голосов
/ 02 июня 2020

Я пытаюсь понять различные сообщения журнала в /var/log/kern.log, которые через несколько дней начали появляться как go. Я новичок в AppArmo r, я читал справочные страницы и понимаю концепции, я искал по inte rnet, однако r Я не нашел ответов на свои вопросы, поэтому вы r помощь будет принята с благодарностью :)

Во-первых, у меня много сообщений, поступающих из LibreOffice (oospla sh и soffice.bin), когда я запускаю приложение LibreOffice, например:

May 31 20:17:31 computer kernel: [323998.794468] audit: type=1400 audit(1590949051.499:526): apparmor="ALLOWED" operation="connect" profile="libreoffice-oopslash" name="/tmp/OSL_PIPE_1000_SingleOfficeIPC_ebf4c14b10ff5047a7c52cb16b89cb45" pid=21191 comm="oosplash" requested_mask="wr" denied_mask="wr" fsuid=1000 ouid=1000
May 31 20:17:31 computer kernel: [323998.794473] audit: type=1400 audit(1590949051.499:527): apparmor="ALLOWED" operation="file_perm" profile="libreoffice-oopslash" name="/tmp/OSL_PIPE_1000_SingleOfficeIPC_ebf4c14b10ff5047a7c52cb16b89cb45" pid=21191 comm="oosplash" requested_mask="r" denied_mask="r" fsuid=1000 ouid=1000

o r

Jun  2 12:52:06 computer kernel: [ 4343.092338] audit: type=1400 audit(1591095126.931:125): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/home/user/.thunderbird/profiles.ini" pid=6459 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=1000

Общий вопрос о понимании этого файла журнала - libreoffice находится в режиме жалобы, так что приведенные выше сообщения являются лишь информацией? Стоит ли мне смотреть на apparmor = "ALLOWED" o r denied_mask = "r" (в порядке r, чтобы знать, что происходит)?

Хотя я обнаружил, что LibreOffice-AppArmo r проблемы не редкость, например, люди не могут получить доступ к файлам за пределами i r HOME папок (https://bugs.launchpad.net/ubuntu/+source/libreoffice/+bug/1751005) и, следовательно, полностью отключить профиль o r Думаю, я мог бы запустить aa_genprof и определить текущее поведение LibreOffice r как нормальное, но мне все равно хотелось бы знать, что происходит. Пример fo r, что означает operation = "connect"? O r почему soffice.bin открывает /home/user/.thunderbird/profiles.ini (o r simila r файлы, кажущиеся несвязанными)? Я нахожу эти вещи странными, я даже не использую thunderbird ...

Остальные r сообщения журнала появляются r при запуске системы и включают:

Jun  2 13:59:01 computer kernel: [    0.156884] audit: initializing netlink subsys (disabled)
Jun  2 13:59:01 computer kernel: [    0.156893] audit: type=2000 audit(1591099123.044:1): state=initialized audit_enabled=0 res=1
Jun  2 13:59:01 computer kernel: [   14.515084] audit: type=1400 audit(1591099138.471:2): apparmor="STATUS" operation="profile_load" profile="unconfined" name="klogd" pid=1009 comm="apparmor_parser"
Jun  2 13:59:01 computer kernel: [   14.570111] audit: type=1400 audit(1591099138.527:3): apparmor="STATUS" operation="profile_load" profile="unconfined" name="gst_plugin_scanner" pid=1010 comm="apparmor_parser"
Jun  2 13:59:01 computer kernel: [   14.627380] audit: type=1400 audit(1591099138.583:4): apparmor="STATUS" operation="profile_load" profile="unconfined" name="ping" pid=1012 comm="apparmor_parser"
Jun  2 13:59:01 computer kernel: [   14.668657] audit: type=1400 audit(1591099138.627:5): apparmor="STATUS" operation="profile_load" profile="unconfined" name="syslogd" pid=1014 comm="apparmor_parser"
Jun  2 13:59:01 computer kernel: [   14.702750] audit: type=1400 audit(1591099138.659:6): apparmor="STATUS" operation="profile_load" profile="unconfined" name="syslog-ng" pid=1017 comm="apparmor_parser"
Jun  2 13:59:01 computer kernel: [   14.782911] audit: type=1400 audit(1591099138.739:7): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/sbin/dhclient" pid=1011 comm="apparmor_parser"
Jun  2 13:59:01 computer kernel: [   14.783708] audit: type=1400 audit(1591099138.739:8): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/lib/NetworkManager/nm-dhcp-client.action" pid=1011 comm="apparmor_parser"
Jun  2 13:59:01 computer kernel: [   14.784281] audit: type=1400 audit(1591099138.739:9): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/lib/NetworkManager/nm-dhcp-helper" pid=1011 comm="apparmor_parser"
Jun  2 13:59:01 computer kernel: [   14.784960] audit: type=1400 audit(1591099138.743:10): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/lib/connman/scripts/dhclient-script" pid=1011 comm="apparmor_parser"
Jun  2 13:59:01 computer kernel: [   14.819066] audit: type=1400 audit(1591099138.775:11): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/bin/irssi" pid=1025 comm="apparmor_parser"
Jun  2 14:03:53 computer kernel: [  309.414167] kauditd_printk_skb: 89 callbacks suppressed
Jun  2 14:03:53 computer kernel: [  309.414168] audit: type=1400 audit(1591099433.199:101): apparmor="STATUS" operation="profile_replace" profile="unconfined" name="/usr/sbin/avahi-daemon" pid=4090 comm="apparmor_parser"

Я вижу это сообщение STATUS, но меня все еще сбивает с толку profile = "unlimited", так как я не смог найти этот профиль в /etc/apparmor.d. Что такое apparmor_parse r загрузка? Опасно ли это, и следует ли ограничивать эти приложения?

Извините, если мой вопрос слишком общий, много чего происходит одновременно

...