我正在尝试理解几天前开始出现的 /var/log/kern.log 中的不同日志消息。我是 AppArmor 的新手,我读过手册页,我理解这些概念,我在互联网上搜索过,但我还没有找到问题的答案,所以非常感谢您的帮助 :)
首先,当我启动 LibreOffice 应用程序时,我收到很多来自 LibreOffice(oosplash 和 soffice.bin)的消息,例如:
May 31 20:17:31 computer kernel: [323998.794468] audit: type=1400 audit(1590949051.499:526): apparmor="ALLOWED" operation="connect" profile="libreoffice-oopslash" name="/tmp/OSL_PIPE_1000_SingleOfficeIPC_ebf4c14b10ff5047a7c52cb16b89cb45" pid=21191 comm="oosplash" requested_mask="wr" denied_mask="wr" fsuid=1000 ouid=1000
May 31 20:17:31 computer kernel: [323998.794473] audit: type=1400 audit(1590949051.499:527): apparmor="ALLOWED" operation="file_perm" profile="libreoffice-oopslash" name="/tmp/OSL_PIPE_1000_SingleOfficeIPC_ebf4c14b10ff5047a7c52cb16b89cb45" pid=21191 comm="oosplash" requested_mask="r" denied_mask="r" fsuid=1000 ouid=1000
或者
Jun 2 12:52:06 computer kernel: [ 4343.092338] audit: type=1400 audit(1591095126.931:125): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/home/user/.thunderbird/profiles.ini" pid=6459 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=1000
关于理解此日志文件的一个常见问题 - libreoffice 处于投诉模式,因此上述消息只是信息吗?我应该查看 apparmor="ALLOWED" 还是 denied_mask="r"(以便知道发生了什么)?
虽然我发现 LibreOffice-AppArmor 问题并不罕见,例如人们无法访问 HOME 文件夹之外的文件(https://bugs.launchpad.net/ubuntu/+source/libreoffice/+bug/1751005) 从而完全禁用配置文件,或者我想我可以运行 aa_genprof 并将当前 LibreOffice 行为定义为正常,但我仍然想知道发生了什么。例如,operation="connect" 是什么意思?或者为什么 soffice.bin 打开 /home/user/.thunderbird/profiles.ini(或类似的看似不相关的文件)?我觉得这些事情很奇怪,我甚至不使用 thunderbird...
其他日志消息在系统启动时出现,包括:
Jun 2 13:59:01 computer kernel: [ 0.156884] audit: initializing netlink subsys (disabled)
Jun 2 13:59:01 computer kernel: [ 0.156893] audit: type=2000 audit(1591099123.044:1): state=initialized audit_enabled=0 res=1
Jun 2 13:59:01 computer kernel: [ 14.515084] audit: type=1400 audit(1591099138.471:2): apparmor="STATUS" operation="profile_load" profile="unconfined" name="klogd" pid=1009 comm="apparmor_parser"
Jun 2 13:59:01 computer kernel: [ 14.570111] audit: type=1400 audit(1591099138.527:3): apparmor="STATUS" operation="profile_load" profile="unconfined" name="gst_plugin_scanner" pid=1010 comm="apparmor_parser"
Jun 2 13:59:01 computer kernel: [ 14.627380] audit: type=1400 audit(1591099138.583:4): apparmor="STATUS" operation="profile_load" profile="unconfined" name="ping" pid=1012 comm="apparmor_parser"
Jun 2 13:59:01 computer kernel: [ 14.668657] audit: type=1400 audit(1591099138.627:5): apparmor="STATUS" operation="profile_load" profile="unconfined" name="syslogd" pid=1014 comm="apparmor_parser"
Jun 2 13:59:01 computer kernel: [ 14.702750] audit: type=1400 audit(1591099138.659:6): apparmor="STATUS" operation="profile_load" profile="unconfined" name="syslog-ng" pid=1017 comm="apparmor_parser"
Jun 2 13:59:01 computer kernel: [ 14.782911] audit: type=1400 audit(1591099138.739:7): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/sbin/dhclient" pid=1011 comm="apparmor_parser"
Jun 2 13:59:01 computer kernel: [ 14.783708] audit: type=1400 audit(1591099138.739:8): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/lib/NetworkManager/nm-dhcp-client.action" pid=1011 comm="apparmor_parser"
Jun 2 13:59:01 computer kernel: [ 14.784281] audit: type=1400 audit(1591099138.739:9): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/lib/NetworkManager/nm-dhcp-helper" pid=1011 comm="apparmor_parser"
Jun 2 13:59:01 computer kernel: [ 14.784960] audit: type=1400 audit(1591099138.743:10): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/lib/connman/scripts/dhclient-script" pid=1011 comm="apparmor_parser"
Jun 2 13:59:01 computer kernel: [ 14.819066] audit: type=1400 audit(1591099138.775:11): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/bin/irssi" pid=1025 comm="apparmor_parser"
Jun 2 14:03:53 computer kernel: [ 309.414167] kauditd_printk_skb: 89 callbacks suppressed
Jun 2 14:03:53 computer kernel: [ 309.414168] audit: type=1400 audit(1591099433.199:101): apparmor="STATUS" operation="profile_replace" profile="unconfined" name="/usr/sbin/avahi-daemon" pid=4090 comm="apparmor_parser"
我看到这是一条 STATUS 消息,但我仍然对 profile="unconfined" 感到困惑,因为我在 /etc/apparmor.d 中找不到此配置文件。apparmor_parser 正在加载什么?这危险吗?我应该限制这些应用程序吗?
抱歉,我的问题有点宽泛,很多事情是同时发生的