apparmor=DEDIED при отключеном apparmor

Dexel

В /var/log/syslog

Mar  8 23:02:11 machine1 dbus-daemon[1373]: apparmor="DENIED" operation="dbus_method_call"  bus="session" path="/org/gtk/Private/RemoteVolumeMonitor" interface="org.gtk.Private.RemoteVolumeMonitor" member="IsSupported" mask="send" name=":1.110" pid=2115 label="firefox" peer_pid=123672 peer_label="unconfined"
Mar  8 23:02:11 machine1 dbus-daemon[1373]: apparmor="DENIED" operation="dbus_method_call"  bus="session" path="/org/gtk/Private/RemoteVolumeMonitor" interface="org.gtk.Private.RemoteVolumeMonitor" member="IsSupported" mask="send" name=":1.111" pid=2115 label="firefox" peer_pid=123676 peer_label="unconfined"
Mar  8 23:02:11 machine1 dbus-daemon[1373]: apparmor="DENIED" operation="dbus_method_call"  bus="session" path="/org/gtk/Private/RemoteVolumeMonitor" interface="org.gtk.Private.RemoteVolumeMonitor" member="IsSupported" mask="send" name=":1.112" pid=2115 label="firefox" peer_pid=123680 peer_label="unconfined"
Mar  8 23:02:11 machine1 dbus-daemon[1373]: apparmor="DENIED" operation="dbus_method_call"  bus="session" path="/org/gtk/Private/RemoteVolumeMonitor" interface="org.gtk.Private.RemoteVolumeMonitor" member="IsSupported" mask="send" name=":1.113" pid=2115 label="firefox" peer_pid=123685 peer_label="unconfined"
Mar  8 23:02:11 machine1 dbus-daemon[1373]: apparmor="DENIED" operation="dbus_method_call"  bus="session" path="/org/gtk/vfs/mounttracker" interface="org.gtk.vfs.MountTracker" member="ListMounts2" mask="send" name=":1.10" pid=2115 label="firefox" peer_pid=1486 peer_label="unconfined"
Mar  8 23:02:11 machine1 dbus-daemon[1373]: apparmor="DENIED" operation="dbus_method_call"  bus="session" path="/org/gtk/vfs/mounttracker" interface="org.gtk.vfs.MountTracker" member="LookupMount" mask="send" name=":1.10" pid=2115 label="firefox" peer_pid=1486 peer_label="unconfined"
Mar  8 23:02:11 machine1 dbus-daemon[602]: [system] Activating via systemd: service name='org.freedesktop.hostname1' unit='dbus-org.freedesktop.hostname1.service' requested by ':1.92' (uid=1000 pid=2115 comm="/usr/lib/firefox/firefox " label="firefox (enforce)")
Mar  8 23:02:11 machine1 systemd[1]: Starting Hostname Service...
Mar  8 23:02:12 machine1 dbus-daemon[1373]: apparmor="DENIED" operation="dbus_method_call"  bus="session" path="/org/gtk/vfs/mounttracker" interface="org.gtk.vfs.MountTracker" member="LookupMount" mask="send" name=":1.10" pid=2115 label="firefox" peer_pid=1486 peer_label="unconfined"

Отключил временно apparmor…

Код: Выделить всё

# systemctl status apparmor.service
○ apparmor.service - Load AppArmor profiles
Loaded: loaded (/lib/systemd/system/apparmor.service; enabled; vendor preset: enabled)
Active: inactive (dead) since Fri 2024-03-08 23:00:39 EET; 8min ago
Docs: man:apparmor(7)
https://gitlab.com/apparmor/apparmor/wikis/home/
Process: 123899 ExecStart=/lib/apparmor/apparmor.systemd reload (code=exited, status=0/SUCCESS)
Process: 124954 ExecReload=/lib/apparmor/apparmor.systemd reload (code=exited, status=0/SUCCESS)
Process: 125092 ExecStop=/bin/true (code=exited, status=0/SUCCESS)
Main PID: 123899 (code=exited, status=0/SUCCESS)
CPU: 1ms

бер 08 22:43:49 machine1 apparmor.systemd[123899]: Restarting AppArmor
бер 08 22:43:49 machine1 apparmor.systemd[123899]: Reloading AppArmor profiles
бер 08 22:43:49 machine1 systemd[1]: Finished Load AppArmor profiles.
бер 08 22:58:47 machine1 systemd[1]: Reloading Load AppArmor profiles...
бер 08 22:58:47 machine1 apparmor.systemd[124954]: Restarting AppArmor
бер 08 22:58:47 machine1 apparmor.systemd[124954]: Reloading AppArmor profiles
бер 08 22:59:06 machine1 systemd[1]: Reloaded Load AppArmor profiles.
бер 08 23:00:39 machine1 systemd[1]: Stopping Load AppArmor profiles...
бер 08 23:00:39 machine1 systemd[1]: apparmor.service: Deactivated successfully.
бер 08 23:00:39 machine1 systemd[1]: Stopped Load AppArmor profiles.

То от кого там DENIED?

Что делал, хотел картинку загрузить в Gmail. Вот именно картинку в письме, а не аттач.

Код: Выделить всё

Kubuntu 22.04
# uname -a
Linux machine1 6.5.0-21-generic #21~22.04.1-Ubuntu SMP PREEMPT_DYNAMIC Fri Feb  9 13:32:52 UTC 2 x86_64 x86_64 x86_64 GNU/Linux

Спасибо.

Dexel писал(а): ↑
09 мар 2024, 00:23
apparmor

Никогда и не знал кто это такой apparmor...
Посмотрел:

Изначально программа была разработана компанией Immunix. После её приобретения компанией Novell инструмент был открыт под лицензией GNU GPL и включён в openSUSE[2]. Позже адаптирован для Ubuntu.

Во-первых, узнаём что инициатива тут исходит от Ubuntu.
А от клоунов с Ubuntu можно ожидать чего угодно

(... и Kubuntu как их доблестные наследники

)

В конце лета 2008 года Рассел Кокер, один из авторов SELinux, высказал мнение, что AppArmor бесперспективен, объяснив это тем, что даже в openSUSE появляется поддержка аналогичного и более популярного решения — SELinux.

Во-вторых, узнаём что по своему назначению - это что-то подобное такому ещё большему говнищу как SELinux - см. SELinux - историю про то как я борюсь, с переменным успехом, с эти говнищем уже 12 лет, как минимум.

Однако вскоре разработку AppArmor продолжил сотрудник Canonical, а в июле 2010 года было объявлено о том, что AppArmor войдет в состав Linux-ядра версии 2.6.36

В-третьих, узнаём, что поддержка (более или менее) этого apparmor имеет место при каком-то участии ядра Linux... Т.е. исключить её бесследно вы не можете никак...

Dexel писал(а): ↑
09 мар 2024, 00:23
То от кого там DENIED?

А DENIED как-раз и означает что это говнище отключено.

Dexel писал(а): ↑
09 мар 2024, 00:23
Отключил временно apparmor…

Посмотрел у себя, на одной из систем ... похожих:

Код: Выделить всё

olej@R420:~$ lsb_release -a
No LSB modules are available.
Distributor ID:	Linuxmint
Description:	Linux Mint 21.3
Release:	21.3
Codename:	virginia

Да

Имеет место такое говнище

:

Код: Выделить всё

olej@R420:~$ systemctl status apparmor.service
● apparmor.service - Load AppArmor profiles
     Loaded: loaded (/lib/systemd/system/apparmor.service; enabled; vendor preset: enabled)
     Active: active (exited) since Fri 2024-03-08 07:19:53 EET; 1 day 6h ago
       Docs: man:apparmor(7)
             https://gitlab.com/apparmor/apparmor/wikis/home/
   Main PID: 1050 (code=exited, status=0/SUCCESS)
        CPU: 343ms

мар 08 07:19:53 R420 systemd[1]: Starting Load AppArmor profiles...
мар 08 07:19:53 R420 apparmor.systemd[1050]: Restarting AppArmor
мар 08 07:19:53 R420 apparmor.systemd[1050]: Reloading AppArmor profiles
мар 08 07:19:53 R420 apparmor.systemd[1072]: Skipping profile in /etc/apparmor.d/disable: usr.bin.firefox
мар 08 07:19:53 R420 apparmor.systemd[1088]: Skipping profile in /etc/apparmor.d/disable: usr.sbin.rsyslogd
мар 08 07:19:53 R420 systemd[1]: Finished Load AppArmor profiles.

Olej писал(а): ↑
09 мар 2024, 14:24
Имеет место такое говнище

Посмотрел конфгурации которые он там упоминает:

Код: Выделить всё

olej@R420:~$ ls -o /etc/apparmor.d/disable
итого 0
lrwxrwxrwx 1 root 31 фев 14  2021 usr.bin.firefox -> /etc/apparmor.d/usr.bin.firefox
lrwxrwxrwx 1 root 33 фев 14  2021 usr.sbin.rsyslogd -> /etc/apparmor.d/usr.sbin.rsyslogd

Код: Выделить всё

olej@R420:~$ ls -oL /etc/apparmor.d/disable
итого 16
-rw-r--r-- 1 root 9186 дек  1  2021 usr.bin.firefox
-rw-r--r-- 1 root 1592 ноя 16  2021 usr.sbin.rsyslogd

Код: Выделить всё

olej@R420:~$ ls -oL /etc/apparmor.d/
итого 152
drwxr-xr-x 2 root  4096 ноя 24 00:30 abi
drwxr-xr-x 4 root 12288 ноя 24 23:46 abstractions
drwxr-xr-x 2 root  4096 янв  3  2021 disable
drwxr-xr-x 2 root  4096 фев 11  2020 force-complain
-rw-r--r-- 1 root   896 апр 12  2021 lightdm-guest-session
drwxr-xr-x 2 root  4096 дек  5 13:42 local
-rw-r--r-- 1 root  1339 июн 21  2022 lsb_release
-rw-r--r-- 1 root  1189 июн 21  2022 nvidia_modprobe
-rw-r--r-- 1 root  3500 янв 31  2023 sbin.dhclient
-rw-r--r-- 1 root   684 мар 18  2020 system_tor
-rw-r--r-- 1 root  5580 авг 29  2022 torbrowser.Browser.firefox
-rw-r--r-- 1 root  1669 авг 29  2022 torbrowser.Tor.tor
drwxr-xr-x 5 root  4096 дек  5 13:42 tunables
-rw-r--r-- 1 root 11495 окт 19 22:01 usr.bin.evince
-rw-r--r-- 1 root  9186 дек  1  2021 usr.bin.firefox
-rw-r--r-- 1 root  3448 мар 17  2022 usr.bin.man
-rw-r--r-- 1 root  1520 мая 10  2022 usr.bin.redshift
-rw-r--r-- 1 root  1687 фев  8 15:21 usr.bin.tcpdump
-rw-r--r-- 1 root  1519 окт 27  2022 usr.lib.libreoffice.program.oosplash
-rw-r--r-- 1 root  1227 авг 25  2020 usr.lib.libreoffice.program.senddoc
-rw-r--r-- 1 root 10740 окт 27  2022 usr.lib.libreoffice.program.soffice.bin
-rw-r--r-- 1 root  1046 авг 25  2020 usr.lib.libreoffice.program.xpdfimport
-rw-r--r-- 1 root   677 апр  6  2022 usr.sbin.cups-browsed
-rw-r--r-- 1 root  6141 мая 27  2022 usr.sbin.cupsd
-rw-r--r-- 1 root   645 авг 18  2021 usr.sbin.haveged
-rw-r--r-- 1 root   730 фев 10  2023 usr.sbin.mariadbd
-rw-r--r-- 1 root  2408 фев 16  2022 usr.sbin.ntpd
-rw-r--r-- 1 root  1592 ноя 16  2021 usr.sbin.rsyslogd

Понаворочено там просто дофигища

Dexel писал(а): ↑
09 мар 2024, 00:23
хотел картинку загрузить в Gmail.

Могу предположить (

), что вот тот инструмент (программа), которой вы хотели "картинку загрузить" (вы э не пишете чем вы хотели это сделать?) - прописан каки-то образом вон в тех конфигурациях, и там наложены какие-то ограничения.

Olej писал(а): ↑
09 мар 2024, 14:33
Понаворочено там просто дофигища

Да, это говнище установлено в системе "ис каропки"

:

Код: Выделить всё

olej@R420:~$ aptitude search apparmor | grep ^i
i  apparmor - транслятор профилей AppArmor
i  apparmor-utils - Утилиты для управления AppArmor
i  libapparmor1 - библиотека для работы с профилями AppArmor
i  python3-apparmor - AppArmor Python3 utility library
i  python3-libapparmor - AppArmor library Python3 bindings

Код: Выделить всё

olej@R420:~$ apt content apparmor-utils
/.
/etc
/etc/apparmor
/etc/apparmor/easyprof.conf
/etc/apparmor/logprof.conf
/etc/apparmor/severity.db
/usr
/usr/bin
/usr/bin/aa-easyprof
/usr/sbin
/usr/sbin/aa-audit
/usr/sbin/aa-autodep
/usr/sbin/aa-cleanprof
/usr/sbin/aa-complain
/usr/sbin/aa-decode
/usr/sbin/aa-disable
/usr/sbin/aa-enforce
/usr/sbin/aa-genprof
/usr/sbin/aa-logprof
/usr/sbin/aa-mergeprof
/usr/sbin/aa-unconfined
/usr/sbin/aa-update-browser
/usr/share
/usr/share/apparmor
/usr/share/apparmor/easyprof
/usr/share/apparmor/easyprof/policygroups
/usr/share/apparmor/easyprof/policygroups/opt-application
/usr/share/apparmor/easyprof/policygroups/user-application
/usr/share/apparmor/easyprof/templates
/usr/share/apparmor/easyprof/templates/default
/usr/share/apparmor/easyprof/templates/sandbox
/usr/share/apparmor/easyprof/templates/sandbox-x
/usr/share/apparmor/easyprof/templates/user-application
/usr/share/doc
/usr/share/doc/apparmor-utils
/usr/share/doc/apparmor-utils/changelog.Debian.gz
/usr/share/doc/apparmor-utils/copyright
/usr/share/man
/usr/share/man/man5
/usr/share/man/man5/logprof.conf.5.gz
/usr/share/man/man8
/usr/share/man/man8/aa-audit.8.gz
/usr/share/man/man8/aa-autodep.8.gz
/usr/share/man/man8/aa-cleanprof.8.gz
/usr/share/man/man8/aa-complain.8.gz
/usr/share/man/man8/aa-decode.8.gz
/usr/share/man/man8/aa-disable.8.gz
/usr/share/man/man8/aa-easyprof.8.gz
/usr/share/man/man8/aa-enforce.8.gz
/usr/share/man/man8/aa-genprof.8.gz
/usr/share/man/man8/aa-logprof.8.gz
/usr/share/man/man8/aa-mergeprof.8.gz
/usr/share/man/man8/aa-unconfined.8.gz
/usr/share/man/man8/aa-update-browser.8.gz
/usr/share/vim
/usr/share/vim/addons
/usr/share/vim/addons/syntax
/usr/share/vim/addons/syntax/apparmor.vim
/usr/share/vim/registry
/usr/share/vim/registry/vim-apparmor.yaml
/var
/var/log
/var/log/apparmor

Olej писал(а): ↑
09 мар 2024, 18:55
это говнище установлено

How to Enable or Disable AppArmor on Ubuntu 22.04 or 20.04

Last Updated on Monday, December 11, 2023 by Joshua James

Для отключения AppArmor в Ubuntu 22.04 или 20.04 выполните следующие шаги:
1. Перейдите в каталог, где хранятся профили AppArmor: `cd /etc/apparmor.d`.
2. Выведите список профилей в этом каталоге с помощью команды `ls -s`.
3. Выберите профиль, который нужно отключить.
4. Используйте команду `aa-disable` для отключения выбранного профиля.
После отключения профиля можно проверить список отключенных профилей в каталоге `/etc/apparmor.d/disable`.

Linux-ru