Вопрос или проблема
Я только что обновил свой RPI5 сегодня. Использую Ubuntu 24.04 LTS. Во время обновления я получил сообщения об ошибках, говорящие, что у Apparmor возникли проблемы с sssd.service (/etc/sssd/conf.d)…
Это произошло впервые.. Это важно ИЛИ мне просто оставить все как есть…?
Вот некоторая информация…
Я применил доступные обновления безопасности Apt.
sudo apt update &&
sudo apt upgrade -y
Во время обновления были сообщения об ошибках, в основном касающиеся apparmor и sssd (сервиса). Условия для /etc/sssd/conf.d И /etc/sssd/conf.d не выполнены..
bt92200@BTRPI-5:/etc/sssd/conf.d$ systemctl status sssd.service
○ sssd.service - System Security Services Daemon
Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled; preset: enabled)
Active: inactive (dead)
Condition: start condition unmet at Tue 2024-06-18 07:20:02 EDT; 3min 43s ago
├─ ConditionPathExists=|/etc/sssd/sssd.conf was not met
└─ ConditionDirectoryNotEmpty=|/etc/sssd/conf.d was not met
Jun 18 07:09:10 BTRPI-5 systemd[1]: sssd.service - System Security Services Daemon был пропущен, так как не были выполнены условия срабатывания.
Jun 18 07:20:02 BTRPI-5 systemd[1]: sssd.service - System Security Services Daemon был пропущен, так как не были выполнены условия срабатывания.
sudo aa-status:
3 профиля находятся в режиме жалоб.
/usr/sbin/sssd
libreoffice-oosplash
libreoffice-soffice
bt92200@BTRPI-5:/etc/sssd/conf.d$ systemctl status apparmor.service
● apparmor.service - Load AppArmor profiles
Loaded: loaded (/usr/lib/systemd/system/apparmor.service; enabled; preset: enabled)
Active: active (exited) since Tue 2024-06-18 07:08:38 EDT; 23min ago
Docs: man:apparmor(7)
https://gitlab.com/apparmor/apparmor/wikis/home/
Main PID: 822 (code=exited, status=0/SUCCESS)
CPU: 515ms
Jun 18 07:08:37 BTRPI-5 systemd[1]: Запуск apparmor.service - Load AppArmor profiles...
Jun 18 07:08:37 BTRPI-5 apparmor.systemd[822]: Перезапуск AppArmor
Jun 18 07:08:37 BTRPI-5 apparmor.systemd[822]: Перезагрузка профилей AppArmor
Jun 18 07:08:38 BTRPI-5 apparmor.systemd[955]: Предупреждение: найден usr.sbin.sssd в /etc/apparmor.d/force-complain, установлен режим жалоб
Jun 18 07:08:38 BTRPI-5 apparmor.systemd[955]: Предупреждение от /etc/apparmor.d (/etc/apparmor.d/usr.sbin.sssd строка 63): кеширование отключено для: 'usr.sbin.sssd' из-за режима жалоб
Jun 18 07:08:38 BTRPI-5 systemd[1]: Завершен apparmor.service - Load AppArmor profiles.
У меня тоже возникла та же ошибка при обновлении apt 24.04. apparmor и libapparmor1 – это единственные обновленные пакеты. Вывод ниже.
Я не использую корпоративную аутентификацию, так что это вряд ли повлияет на меня, но я надеюсь, это будет полезно.
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Calculating upgrade... Done
Получайте больше обновлений безопасности через Ubuntu Pro, включив 'esm-apps':
libcjson1 libpostproc57 libavcodec60 libavutil58 libswscale7 libswresample4
libavformat60 libavfilter9
Подробнее об Ubuntu Pro на https://ubuntu.com/pro
Следующие обновления отложены из-за этапирования:
libegl-mesa0 libgbm1 libgl1-mesa-dri libglapi-mesa libglx-mesa0
libxatracker2 mesa-va-drivers mesa-vdpau-drivers mesa-vulkan-drivers
xdg-desktop-portal
Следующие пакеты будут обновлены:
apparmor libapparmor1
2 обновлено, 0 установлено заново, 0 удалено и 10 не обновлено.
Необходимо загрузить 691 kB архивов.
После этой операции будет использовано 33.8 kB дополнительного дискового пространства.
Хотите продолжить? [Y/n]
Получено:1 http://gb.archive.ubuntu.com/ubuntu noble-updates/main amd64 libapparmor1 amd64 4.0.1-0ubuntu0.24.04.2 [50.0 kB]
Получено:2 http://gb.archive.ubuntu.com/ubuntu noble-updates/main amd64 apparmor amd64 4.0.1-0ubuntu0.24.04.2 [641 kB]
Загружено 691 kB за 0с (2,470 kB/s)
Предварительная настройка пакетов ...
(Чтение базы данных ... 195263 файлов и директорий уже установлено.)
Подготовка к распаковке .../libapparmor1_4.0.1-0ubuntu0.24.04.2_amd64.deb ...
Распаковка libapparmor1:amd64 (4.0.1-0ubuntu0.24.04.2) поверх (4.0.0-beta3-0ubuntu3) ...
Подготовка к распаковке .../apparmor_4.0.1-0ubuntu0.24.04.2_amd64.deb ...
Распаковка apparmor (4.0.1-0ubuntu0.24.04.2) поверх (4.0.0-beta3-0ubuntu3) ...
Настройка libapparmor1:amd64 (4.0.1-0ubuntu0.24.04.2) ...
Настройка apparmor (4.0.1-0ubuntu0.24.04.2) ...
Установка новой версии файла конфигурации /etc/apparmor.d/abstractions/authentication ...
Установка новой версии файла конфигурации /etc/apparmor.d/abstractions/samba ...
Установка новой версии файла конфигурации /etc/apparmor.d/firefox ...
Перезагрузка профилей AppArmor
Предупреждение: найден usr.sbin.sssd в /etc/apparmor.d/force-complain, установлен режим жалоб
Предупреждение от /etc/apparmor.d (/etc/apparmor.d/usr.sbin.sssd строка 63): кеширование отключено для: 'usr.sbin.sssd' из-за режима жалоб
Обработка триггеров для man-db (2.12.0-4build2) ...
Обработка триггеров для libc-bin (2.39-0ubuntu8.2) ...
Похоже, это давняя проблема, хотя я тоже заметил её только недавно.
Обходной путь №2 из этого поста отлично работает для меня и выглядит достаточно чисто.
Думаю, что – согласно ответу Мэтта – если нет необходимости в sssd, то возможно также полностью удалить его (sudo apt remove sssd). Я этого не пробовал.
Если вам нужно больше информации для принятия решения, документация выглядит достаточно надежно…
.
Ответ или решение
AppArmor и SSSD (System Security Services Daemon) представляют собой важные элементы Ubuntu, обеспечивающие безопасность и аутентификацию в системе. Проблемы, возникшие после обновления системы, могут повлиять на вашу безопасность, и правильное понимание и устранение этих проблем необходимо для поддержания стабильности и безопасности вашей системы.
Теория
AppArmor — это система мандатного управления доступом, которая позволяет ограничивать функции приложений, чтобы уменьшить потенциальные угрозы безопасности. Ваша система Ubuntu включает AppArmor, который управляет тем, какие процессы и файлы могут взаимодействовать друг с другом. При наличии ошибок или предупреждений в AppArmor, особенно в контексте режима "Complain", рекомендуется изучить их, чтобы понять, как они могут повлиять на ваши приложения и безопасность.
Режим "Complain", иначе известный как режим "жалобы", используется для тестирования и конфигурирования профилей приложений. Когда профиль находится в режиме жалоб, он не запрещает действия, а только записывает предупреждения о потенциально недопустимых действиях. Это позволяет администратору видеть, какие действия будут заблокированы в случае перевода профиля в режим исполнения, и внести соответствующие изменения.
SSSD — это демон, обеспечивающий централизованное управление доступом к ресурсам и службам, использующий разные бекэнды для аутентификации и авторизации, такие как LDAP, Kerberos и др. Он важен для корпоративных сред, где управление пользователями и группами осуществляется централизованно.
Пример
В вашей конкретной ситуации после обновления Ubuntu 24.04 LTS вы столкнулись с проблемой, когда AppArmor указал на файл sssd (/etc/apparmor.d/usr.sbin.sssd) в режиме жалобы, а системная служба sssd остаётся неактивной. Это может свидетельствовать о неправильно настроенной службе или отсутствующих конфигурационных файлах, таких как /etc/sssd/sssd.conf, необходимых для правильной работы SSSD.
Применение
-
Проверка файлов конфигурации: Судя по статусу sssd.service, условия запуска службы не выполнены, так как отсутствуют необходимые конфигурационные файлы. Убедитесь, что файл /etc/sssd/sssd.conf существует и корректно настроен. Если конфигурация этого файла не нужна, так как вы не используете корпоративную аутентификацию, возможно, стоит удалить пакеты sssd, чтобы предотвратить излишние предупреждения и ошибки:
sudo apt remove sssd. -
Проверка профиля AppArmor: Убедитесь, что профиль пользователя для sssd соответствует вашим нуждам. Если сервис SSSD не используется, профиль AppArmor может оставаться в режиме жалобы без вреда. Однако, если вы планируете использовать SSSD, желательно устранить предупреждения, протестировав профиль и убедившись, что он выполняется с минимальными ограничениями, нужными для работы.
-
Обновление и тестирование системы: После внесения изменений убедитесь, что AppArmor загружает профили без ошибок:
sudo apparmor_parser -r /etc/apparmor.d/*Если все команды прошли успешно, это означает, что конфигурация AppArmor обновлена и ошибок небыло обнаружено.
-
Мониторинг и логирование: Просмотр журналов может обеспечить лучшее понимание того, какие действия вызывают ошибки. Используйте:
journalctl -xeчтобы проверить более детализированные сведения о происходящих событиях с AppArmor и sssd.
Ваша безопасность и стабильность системы всегда остаются важными элементами её управления. Даже если вы считаете, что эти проблемы не повлияют на текущие процессы, поддержание правильной конфигурации и функционирующего программного обеспечения является хорошей практикой. Уделяйте внимание предупреждениям и предупреждениям, поскольку они могут указывать на потенциально небезопасные аспекты работы системы.