お知らせ

  • 利用規約を守って投稿してください。また、よくある質問および投稿の手引きも参照してください。
  • メッセージの投稿にはアカウントが必要です。未登録の方は、ユーザ登録ページからアカウントを作成することができます。

ページ: 1

 

#1 2009-04-04 11:16:28

body-and-soul
メンバ
登録日: 2009-03-11

不可解なKernelメッセージ audit/apparmor ?

次のような不可解なカーネルメッセージが出ています。

1 Time(s): type=1503 audit(1238687211.473:38): operation="inode_permission" requested_mask="::r" denied_mask="::r" fsuid=112 name="/proc/5335/net/if_inet6" pid=5338 profile="/usr/sbin/named"

どうやら権限管理の apparmor に奸計が、いや関係があるらしいことまではわかったのですが、具体的な解決方法がわかりません。named 自身の機能には特に障害は発生していないようです。

どなたか、アドバイスを頂ければ幸いです。

オフライン

 

#2 2009-04-04 16:47:37

petitbootang
メンバ
From: 東京都
登録日: 2009-02-12

Re: 不可解なKernelメッセージ audit/apparmor ?

AppArmorをインストールしてそうなったのでしょうか?

私はあいにく詳しくないのですが、何をしたらそのメッセージが出るようになったか、可能な限り前後の関係を書いたほうが適切なアドバイスが得やすいと思います。

オフライン

 

#3 2009-04-04 17:10:17

body-and-soul
メンバ
登録日: 2009-03-11

Re: 不可解なKernelメッセージ audit/apparmor ?

コメント、ありがとうございます。

回答ですが、Ubuntu 8.10 日本語 REMIX をインストールしただけです。
後は DNS などを動かしているだけです。

このパッケージを使っている他の方は、同様の現象はないのでしょうか?
それとも、特に動作に問題はなさそうなので無視しているということでしょうか?

オフライン

 

#4 2009-04-04 17:56:52

STGSAGWAN
ゲスト

Re: 不可解なKernelメッセージ audit/apparmor ?

body-and-soulさん

bind9のバージョンは、最新の 1:9.5.0.dfsg.P2-1ubuntu3.1 0 ですよね。

https://bugs.launchpad.net/ubuntu/+source/bind9/+bug/289060
によると

/etc/apparmor.d/usr.sbin.named の

/proc/net/if_inet6 r,


/proc/**/net/if_inet6 r,

と修正すればいいらしいです。

しかし修正方法が妥当か分からないので、上記のlaunchpad.netに報告して、修正反映を待つのが得策、と個人的には思います。

追記:
ryさんと書き込みが前後しました。

最後の編集者: STGSAGWAN (2009-04-04 17:59:52)

 

#5 2009-04-04 17:56:54

ry
メンバ
登録日: 2008-07-30

Re: 不可解なKernelメッセージ audit/apparmor ?

正確な情報が提供できないが残念ですが、

AppArmor 関連のパッケージの依存関係に不具合があるようです
ubuntulinux のサイトのどこかでバグレポートを見た記憶があります (しかも最近 <記憶力が乏しくて URI が思い出せない....)

解決策は、何かのパッケージを明示的に追加インストールするだけだった筈です

オフライン

 

#6 2009-04-04 18:08:53

body-and-soul
メンバ
登録日: 2009-03-11

Re: 不可解なKernelメッセージ audit/apparmor ?

STGSAGWAN さん、ry さん、コメントありがとうございます。

STGSAGWAN さん、ご指摘の修正方法は、カーネルメッセージの内容とも符合すると思います。
どうしましょうかね?
試してみるか、それともご助言のように、正式な修正を待つか?

オフライン

 

#7 2009-04-04 19:59:15

STGSAGWAN
ゲスト

Re: 不可解なKernelメッセージ audit/apparmor ?

body-and-soul による投稿:

試してみるか、それともご助言のように、正式な修正を待つか?

随時止めても構わないDNSサーバなら、試してみるのも手でしょう。
ダメならあとで戻せばいいし。
逆に、ミッションクリティカルな立場のDNSサーバなら、それは、body-and-soulさんの判断で・・・。

DNSは重要度が高いので、DNSの使用状況を把握せずに、デスクトップアプリのように気楽に「試しましょう」とは言えないのです。

最後の編集者: STGSAGWAN (2009-04-04 20:02:18)

 

#8 2009-04-05 08:38:31

ry
メンバ
登録日: 2008-07-30

Re: 不可解なKernelメッセージ audit/apparmor ?

#5 以降、つたない記憶の糸を手繰ってみました
以下、私個人の環境に依存したものであり、根拠も何もない状態ですが参考にしてください

ubunt 8.10 server edition をインストールする
syslog に以下メッセージが記録されていることに気付く

コード:

kernel: [99999.999999] type=1503 audit(9999999999.999:99): operation="inode_permission" requested_mask="::r" denied_mask="::r" fsuid=108 name="/proc/4017/net/if_inet6" pid=4018 profile="/usr/sbin/named"

コード:

console-kit-daemon[17497]: CRITICAL: cannot initialize lib polkit

※2つのメッセージの関連の有無は不明

sudo aptitude install policykit を実行して、policykit パッケージをインストールする

参考にしたWebページ: Ubuntuのsyslogにcannot initialize libpolkitとかいうエラーが出ている件

これ以後、上記メッセージは 2つとも記録されなくなった

結局、本件で挙げられている kernel エラーではなく、一見全く関係ない console-ket のエラーに対処したところ、両方とも解決してしまったということです

---- 2009 Apr. 5th 10:05:50 JST 追記
上記記述は、勘違いであり、policykit パッケージをインストールした後も type=1503 audit ... のメッセージは解消できていません

最後の編集者: ry (2009-04-05 10:08:00)

オフライン

 

#9 2009-04-05 09:49:18

body-and-soul
メンバ
登録日: 2009-03-11

Re: 不可解なKernelメッセージ audit/apparmor ?

ry さん、おはようございます。

私の環境 Ubuntu 8.10 日本語 REMIX では、既に policykit はインストールされています。また、console-kit のエラーは発生していないようです。

ry さんとは環境が異なるということでしょうか?

オフライン

 

#10 2009-04-05 10:05:28

ry
メンバ
登録日: 2008-07-30

Re: 不可解なKernelメッセージ audit/apparmor ?

申し訳ありません
#8 は嘘でした

よくよく見直したら、気づかなかっただけでtype=1503 audit ...のメッセージは相変わらず記録されてました orz.

オフライン

 

#11 2009-04-06 23:17:14

body-and-soul
メンバ
登録日: 2009-03-11

Re: 不可解なKernelメッセージ audit/apparmor ?

STGSAGWAN さんのアドバイスに従って /etc/apparmor.d/usr.sbin.named を書き換えてみました。
その結果、例のカーネルメッセージは出なくなったことをご報告します。もちろん、DNS の機能には問題ありません。

みなさま、有益なアドバイス、ありがとうございました。

オフライン

 

#12 2009-06-03 01:41:47

yama
メンバ
登録日: 2006-10-23

Re: 不可解なKernelメッセージ audit/apparmor ?

body-and-soul による投稿:

次のような不可解なカーネルメッセージが出ています。

1 Time(s): type=1503 audit(1238687211.473:38): operation="inode_permission" requested_mask="::r" denied_mask="::r" fsuid=112 name="/proc/5335/net/if_inet6" pid=5338 profile="/usr/sbin/named"

どうやら権限管理の apparmor に奸計が、いや関係があるらしいことまではわかったのですが、具体的な解決方法がわかりません。named 自身の機能には特に障害は発生していないようです。

どなたか、アドバイスを頂ければ幸いです。

これは apparmor からのメッセージです。
/usr/sbin/named が /proc/5335/net/if_inet6 にアクセスしようとしたがプロファイルにそんなルールは書いていないよと。
おそらくcomplainモードで動作しているので問題ありません。

ログからこのメッセージを消したいなら、
sudo aa-logprof
として学習させればOKです。

オフライン

 

 

ページ: 1

Board footer

Powered by FluxBB