带有 LDAP 的 SSSD 使 apparmor 在系统日志中非常嘈杂

Question 1

最近配置域成员资格后，我还收到了几条与dmesg相关的消息sssd。

尽管这些消息与安装/配置有关sssd，但我很确定这些消息实际上来自apparmor，因为我尝试进行调整debug_level，/etc/sssd/sssd.conf这只会对/var/log/sssd/sssd.conf和产生影响systemctl status sssd.service

例子：

# journalctl --reverse | grep sssd

. . . 
Jan 27 13:50:04 chubbychipmunk.webtool.space audit[39674]: 
AVC apparmor="ALLOWED" operation="open" 
profile="/usr/sbin/sssd//null-/usr/libexec/sssd/sssd_be//null-/usr/bin/nsupdate"
name="/usr/lib/x86_64-linux-gnu/libirs.so.1601.0.0" 
pid=39674 
comm="nsupdate" 
requested_mask="r" 
denied_mask="r" 
fsuid=0 ouid=0
. . .

我不是apparmor专家，但通过这个过程，我了解到一些似乎有助于dmesg减少噪音的实用方法。

首先，我安装了apparmor-utils，它具有以下aa-logprof实用程序：

来自aa-logprof(8):

运行 aa-logprof 将扫描日志文件，如果有现有配置文件集未涵盖的新 AppArmor 事件，则将提示用户建议修改以扩充配置文件。

% sudo apt install -y apparmor-utils

然后，我aa-logprof以 root 身份运行并得到如下结果：

% sudo aa-logprof

Updating AppArmor profiles in /etc/apparmor.d.
Reading log entries from /var/log/audit/audit.log.

WARNING: Ignoring exec event in /usr/sbin/sssd//null-/usr/libexec/sssd/sssd_be, nested profiles are not supported yet.

Profile:  /usr/sbin/sssd
Execute:  /usr/libexec/sssd/ldap_child
Severity: unknown

(I)nherit / (C)hild / (P)rofile / (N)amed / (U)nconfined / (X) ix On / (D)eny / Abo(r)t / (F)inish

我(I)nherit在这里使用与相同的配置文件sssd。然后我得到了如下结果：

Complain-mode changes:
Enforce-mode changes:

= Changed Local Profiles =

The following local profiles were changed. Would you like to save them?

 [1 - /usr/sbin/sssd]
(S)ave Changes / Save Selec(t)ed Profile / [(V)iew Changes] / View Changes b/w (C)lean profiles / Abo(r)t

我点击s保存配置文件并退出，这将给你如下内容：

Writing updated profile for /usr/sbin/sssd.

我第一次更新配置文件时，有几个进程sssd还没有被添加到配置文件中。我基本上只是点击了所有进程，因为在我的例子中，所有抱怨的(A)llow进程都与有关。apparmorsssd

过了一会儿，检查它是否有效，然后我运行了：

% sudo dmesg -T | tail -n 100

我发现apparmor我最后一条相关的消息sssd是两个多小时前发的。

Answer