見つけたら、AppArmor設定ファイルを調整してみました。少しの指示私のユースケースでは無効にする必要があります(IPSecデーモンを裸で実行することはそれほど満足できません)。
complain
だから問題を解決しましたが、実際に期待していた原因が何であるかを明らかにしないモードaa-logprof
に設定してみました。助けてくれてそこにいるところで帰ってみると空いていました。
さらに詳しく調べたところ、次のようなスモーキングガンが見つかりました/var/log/messages
(complain
モードを有効にする前)。
type=1400 audit(1470858266.974:84): apparmor="DENIED" operation="capable" profile="/usr/lib/ipsec/charon" pid=27117 comm="charon" capability=1 capname="dac_override"
アクティベーションcomplain
モードでは、以下が生成されます。
type=1400 audit(1470855949.106:69): apparmor="ALLOWED" operation="capable" profile="/usr/lib/ipsec/charon" pid=4674 comm="charon" capability=1 capname="dac_override"
だから何かが欠けているようですcapability dac_override
(実際に設定ファイルに手動で追加すると動作します)。
しかし、なぜこの内容が明示的に公開されていないのかを混乱させますcomplain
。complain
透明性が有効になっていますかdac_override
?
私はAppArmorに初めて触れました。今日のドキュメントを解析するのにかなりの時間を費やしましたが、この動作への参照が見つかりませんでした。
(Ubuntu 14.04の場合、衣類2.8.95〜2430-0ubuntu5.3、カーネル3.13.0-92)