알아낸 후 AppArmor 구성 파일을 조정해 보았습니다.약간의 지침내 사용 사례에서는 비활성화되어야 합니다(IPSec 데몬을 알몸으로 실행하는 것은 그리 만족스럽지 않습니다).
complain그래서 문제를 해결했지만 실제로 예상했던 원인이 무엇인지 밝히지 않은 모드 aa-logprof로 설정해 보았습니다 .나를 도와주러 거기 있어줘그런데 돌아와 보니 텅 비어 있었습니다.
더 자세히 조사한 결과 다음과 같은 스모킹 건을 발견했습니다 /var/log/messages( complain모드를 활성화하기 전).
type=1400 audit(1470858266.974:84): apparmor="DENIED" operation="capable" profile="/usr/lib/ipsec/charon" pid=27117 comm="charon" capability=1 capname="dac_override"
활성화 complain모드에서는 다음이 생성됩니다.
type=1400 audit(1470855949.106:69): apparmor="ALLOWED" operation="capable" profile="/usr/lib/ipsec/charon" pid=4674 comm="charon" capability=1 capname="dac_override"
그래서 뭔가 빠진 것 같습니다 capability dac_override(실제로 구성 파일에 수동으로 추가하면 작동합니다).
그런데 왜 이 내용이 명시적으로 공개되지 않았는지 헷갈립니다 complain. complain투명성이 활성화되어 있습니까 dac_override?
저는 AppArmor를 처음 접했습니다. 오늘 문서를 구문 분석하는 데 꽤 많은 시간을 보냈지만 이 동작에 대한 참조를 찾을 수 없었습니다.
(Ubuntu 14.04의 경우 의류 2.8.95~2430-0ubuntu5.3, 커널 3.13.0-92)