Apparmor:文句を言うモードでdac_override機能が有効になっていますか?

Apparmor:文句を言うモードでdac_override機能が有効になっていますか?

見つけたら、AppArmor設定ファイルを調整してみました。少しの指示私のユースケースでは無効にする必要があります(IPSecデーモンを裸で実行することはそれほど満足できません)。

complainだから問題を解決しましたが、実際に期待していた原因が何であるかを明らかにしないモードaa-logprofに設定してみました。助けてくれてそこにいるところで帰ってみると空いていました。

さらに詳しく調べたところ、次のようなスモーキングガンが見つかりました/var/log/messagescomplainモードを有効にする前)。

type=1400 audit(1470858266.974:84): apparmor="DENIED" operation="capable" profile="/usr/lib/ipsec/charon" pid=27117 comm="charon" capability=1  capname="dac_override"

アクティベーションcomplainモードでは、以下が生成されます。

type=1400 audit(1470855949.106:69): apparmor="ALLOWED" operation="capable" profile="/usr/lib/ipsec/charon" pid=4674 comm="charon" capability=1  capname="dac_override"

だから何かが欠けているようですcapability dac_override(実際に設定ファイルに手動で追加すると動作します)。

しかし、なぜこの内容が明示的に公開されていないのかを混乱させますcomplaincomplain透明性が有効になっていますかdac_override

私はAppArmorに初めて触れました。今日のドキュメントを解析するのにかなりの時間を費やしましたが、この動作への参照が見つかりませんでした。

(Ubuntu 14.04の場合、衣類2.8.95〜2430-0ubuntu5.3、カーネル3.13.0-92)

関連情報