Вопрос или проблема
Пользователь 24.10 здесь. С начала текущей загрузки (менее трех часов назад) у меня уже накопилось более 6000 бесполезных сообщений такого типа в журнале:
audit: type=1400 audit(1736012989.876:317033): apparmor="ALLOWED" operation="file_perm" class="file" profile="transmission-gtk" name=<redacted> pid=11838 comm="transmission-gt" requested_mask="r" denied_mask="r" fsuid=1001 ouid=1001
Учитывая, что я скромный пользователь Transmission, думаю, у более активных пользователей он сильно нагружает место на диске, легко достигая сотен тысяч, если не миллионов.
Я установил для профиля transmission-gtk значение default_allow, что, кажется, устраняет проблему, но также каким-то образом применяется, т.е. явные правила запрета будут активированы, так что я, вероятно, верну его в режим complain, но с правилом “разрешить все”… или может быть уничтожу все это, что кажется очень заманчивым вариантом в данный момент.
Тем не менее, исправление плохого профиля было бы лучше. Кто-нибудь знает, как я могу явно разрешить эти операции file_perm?
Ответ или решение
Для решения проблемы, связанной с чрезмерным количеством сообщений от AppArmor в журнале при использовании Transmission, необходимо разобраться с имеющимся профилем безопасности AppArmor для Transmission, который в данный момент вызывает эти записи.
-
Анализ текущей ситуации:
На вашем устройстве, работающем на версии 24.10, в журнале появляются многочисленные сообщения с типом
audit: type=1400, указывающие на разрешенные операцииfile_permв профилеtransmission-gtk. Это говорит о том, что AppArmor разрешает эти операции, но все равно регистрирует их. -
Определение причины:
Подобное большое количество сообщений может существенно загружать дисковое пространство, особенно если вы используете Transmission часто. Хотя вы изменили профиль на
default_allow, это хоть и уменьшило шум в журнале, но может привести к усилению применения любых явных правил запрета, что нежелательно. -
Рекомендации по настройке профиля AppArmor:
Чтобы исправить ситуацию с профилем, можно внести изменения в сам профиль AppArmor для Transmission. Для этого:
-
Редактирование профиля:
- Перейдите в каталог профилей AppArmor, обычно в
/etc/apparmor.d/. - Найдите файл, относящийся к
transmission-gtk. - Отредактируйте файл, добавив явное разрешение для операций
file_perm, которые вызывают записи в журнале. Например, используйте строку/** rw,для разрешения чтения и записи в необходимые файлы и директории.
- Перейдите в каталог профилей AppArmor, обычно в
-
Изменение режима профиля:
- Вы можете оставить профиль в режиме
complain, добавив правило, которое разрешит все нужные действия, не записывая их в журнал.
- Вы можете оставить профиль в режиме
-
Перезагрузка профиля:
- После внесения изменений перезагрузите AppArmor с помощью команды:
sudo systemctl reload apparmor.
- После внесения изменений перезагрузите AppArmor с помощью команды:
-
-
Проверка и мониторинг изменений:
После изменения профиля AppArmor, следите за журналами для подтверждения, что уменьшилось количество записей, связанных с Transmission, но обеспечилась сохранность необходимых функций и безопасности.
Такой подход позволит снизить нагрузку на систему и дисковое пространство, сохранив при этом важные аспекты безопасности без игнорирования критически важных операций.