Вопрос или проблема
Я только что установил Ubuntu 22.04.1 и Skype из стандартного программного репозитория (версия 8.90.0.407), и каждые 30 секунд он заполняет /var/log/syslog множеством сообщений apparmor, которые выглядят так:
Nov 22 21:39:28 dima kernel: [19901.633595] audit: type=1400 audit(1669142368.829:4586): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/virtual/net/lo/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:39:28 dima kernel: [19901.633635] audit: type=1400 audit(1669142368.829:4587): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/pci0000:00/0000:00:14.3/net/wlp0s20f3/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:39:28 dima kernel: [19901.633690] audit: type=1400 audit(1669142368.829:4588): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/virtual/net/br-72b56228fe43/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:39:28 dima kernel: [19901.633729] audit: type=1400 audit(1669142368.829:4589): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/virtual/net/docker0/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:39:28 dima kernel: [19901.633752] audit: type=1400 audit(1669142368.829:4590): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/virtual/net/tun0/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:39:58 dima kernel: [19931.631110] audit: type=1400 audit(1669142398.826:4591): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/virtual/net/lo/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:39:58 dima kernel: [19931.631121] audit: type=1400 audit(1669142398.826:4592): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/pci0000:00/0000:00:14.3/net/wlp0s20f3/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:39:58 dima kernel: [19931.631157] audit: type=1400 audit(1669142398.826:4593): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/virtual/net/br-72b56228fe43/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:39:58 dima kernel: [19931.631187] audit: type=1400 audit(1669142398.826:4594): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/virtual/net/docker0/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:39:58 dima kernel: [19931.631201] audit: type=1400 audit(1669142398.826:4595): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/virtual/net/tun0/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:40:28 dima kernel: [19961.630808] audit: type=1400 audit(1669142428.828:4596): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/virtual/net/lo/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:40:28 dima kernel: [19961.630821] audit: type=1400 audit(1669142428.828:4597): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/pci0000:00/0000:00:14.3/net/wlp0s20f3/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:40:28 dima kernel: [19961.630828] audit: type=1400 audit(1669142428.828:4598): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/virtual/net/br-72b56228fe43/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:40:28 dima kernel: [19961.630853] audit: type=1400 audit(1669142428.828:4599): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/virtual/net/docker0/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:40:28 dima kernel: [19961.630871] audit: type=1400 audit(1669142428.828:4600): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/virtual/net/tun0/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:40:58 dima kernel: [19991.621939] audit: type=1400 audit(1669142458.824:4601): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/virtual/net/lo/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:40:58 dima kernel: [19991.621950] audit: type=1400 audit(1669142458.824:4602): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/pci0000:00/0000:00:14.3/net/wlp0s20f3/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:40:58 dima kernel: [19991.621955] audit: type=1400 audit(1669142458.824:4603): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/virtual/net/br-72b56228fe43/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:40:58 dima kernel: [19991.621959] audit: type=1400 audit(1669142458.824:4604): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/virtual/net/docker0/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:40:58 dima kernel: [19991.621973] audit: type=1400 audit(1669142458.824:4605): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/virtual/net/tun0/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:41:28 dima kernel: [20021.618919] audit: type=1400 audit(1669142488.824:4606): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/virtual/net/lo/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:41:28 dima kernel: [20021.618928] audit: type=1400 audit(1669142488.824:4607): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/pci0000:00/0000:00:14.3/net/wlp0s20f3/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:41:28 dima kernel: [20021.618940] audit: type=1400 audit(1669142488.824:4608): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/virtual/net/br-72b56228fe43/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:41:28 dima kernel: [20021.618969] audit: type=1400 audit(1669142488.824:4609): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/virtual/net/docker0/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:41:28 dima kernel: [20021.618975] audit: type=1400 audit(1669142488.824:4610): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/virtual/net/tun0/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:41:58 dima kernel: [20051.617503] audit: type=1400 audit(1669142518.827:4611): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/virtual/net/lo/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:41:58 dima kernel: [20051.617507] audit: type=1400 audit(1669142518.827:4612): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/pci0000:00/0000:00:14.3/net/wlp0s20f3/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:41:58 dima kernel: [20051.617508] audit: type=1400 audit(1669142518.827:4613): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/virtual/net/br-72b56228fe43/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:41:58 dima kernel: [20051.617509] audit: type=1400 audit(1669142518.827:4614): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/virtual/net/docker0/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Nov 22 21:41:58 dima kernel: [20051.617510] audit: type=1400 audit(1669142518.827:4615): apparmor="DENIED" operation="open" profile="snap.skype.skype" name="/sys/devices/virtual/net/tun0/speed" pid=4550 comm="skypeforlinux" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Есть идеи, как это решить?
Что происходит?
Skype установлен как snap. Это означает, что skype работает в защищенной песочнице. Логи, которые вы видите, исходят из песочницы и указывают на то, что skype пытается делать что-то, что не разрешено.
Как я могу это решить?
Эти конкретные сообщения об ошибках можно решить, предоставив skype доступ к network-observe.
sudo snap connect skype:network-observe
Однако есть несколько других сообщений об ошибках, которые вы не можете решить как пользователь. Они вызваны тем, что Skype обращается к вещам, которые ему не нужны. Разработчики Skype должны обратить внимание на эти отказания и изменить приложение, чтобы оно перестало обращаться к тем ресурсам.
На самом деле нет возможности отключить эти сообщения?
Вы можете отключить все отказания в песочнице snap для всех приложений, выполнив следующую команду:
echo -n quiet_denied > /sys/module/apparmor/parameters/audit
Это подавит предупреждения об отказах до следующей загрузки.
Если вы хотите сделать это постоянным, вам нужно будет указать параметр ядра, используя grub. Внимание: это сложное изменение, это может «заблокировать» вашу систему, если вы не знаете, что делаете, и испортите это!
В файле /etc/default/grub добавьте apparmor.audit=quiet_denied в конец GRUB_CMDLINE_LINUX_DEFAULT, вот так:
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash apparmor.audit=quiet_denied"
Затем выполните
sudo update-grub
и перезагрузите.
Кто-то создал более точные настройки аудита для разработчиков Microsoft:
https://github.com/AJRepo/apparmor-skype.
Автор предлагает выборочное предоставление прав на чтение для нескольких устройств в системе, добавляя правила для путей, к которым обращается Skype.
Обновите файл /var/lib/snapd/apparmor/profiles/snap.skype.skype и вставьте код из snap.skype.skype.add сразу перед закрывающей фигурной скобкой}, например:
/sys/devices/*/*/*/*/*/online r, /sys/devices/*/*/*/power_supply/* r, /etc/issue r, ...
Я не автор, я просто попробовал эти настройки на своей системе недавно, и они, похоже, работают (Ubuntu 18.04). Поэтому я советую читателям перейти к оригинальному репозиторию и повторить инструкции самостоятельно, добавив оригинальному автору немного похвал 🙂
Ответ или решение
Вопрос, с которым вы столкнулись, касается сообщений от системы безопасности AppArmor на Ubuntu 22.04 в связи с установленным приложением Skype, работающим в контейнере Snap. Эти сообщения не являются редкими при использовании приложений, работающих в защищенной среде, и могут вызвать беспокойство, особенно если они заполняют логи системы.
Что происходит?
Skype, установленный как пакет Snap, работает в рамках жесткой песочницы с ограниченными правами. Это означает, что приложение может быть ограничено в доступе к определенным системным ресурсам. В вашем случае Skype пытается получить доступ к различным файлам в каталоге /sys/devices, что приводит к постоянным сообщениям о запрете (DENIED) в логах.
Как решить проблему?
Одним из простейших решений будет подключение интерфейса network-observe, который позволит Skype иметь доступ к определенной информации о сетевом состоянии:
sudo snap connect skype:network-observeЭто действие может снизить количество сообщений о запретах, но возможно, что другие ограничения все же останутся. Часто такие моменты указывают на необходимость изменений в самом приложении, которые должны быть произведены разработчиками Skype для предотвращения ненужного обращения к ресурсам.
Есть ли способ отключить эти сообщения?
Если сообщения о запретах продолжают заполнять логи и вы хотите временно или постоянно отключить их, вы можете использовать следующее решение.
Для временного отключения сообщений можно выполнить:
echo -n quiet_denied > /sys/module/apparmor/parameters/auditОднако чтобы сделать это изменение постоянным, вам нужно внести изменения в параметры загрузчика GRUB. Обратите внимание, что это более сложная операция и может потребовать осторожности.
- Откройте файл конфигурации GRUB:
sudo nano /etc/default/grub- Найдите строку, начинающуюся с
GRUB_CMDLINE_LINUX_DEFAULT, и добавьте параметрapparmor.audit=quiet_denied:
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash apparmor.audit=quiet_denied"- Сохраните файл и обновите настройки GRUB:
sudo update-grub- Перезагрузите систему.
Такое решение отключит все сообщения о запретах для всех приложений, поэтому рекомендуется использовать его с осторожностью.
Обратная связь для разработчиков
Так как многие сообщения о запрете могут указывать на неэффективное взаимодействие Skype с системой, вы также можете рассмотреть возможность обращения к разработчикам Skype с информацией об этих случаях. Это может помочь улучшить приложение в будущих обновлениях.
Альтернативный подход
Как альтернативу, вы можете изучить возможности более точной настройки профиля AppArmor для Skype. Например, автор одного проекта предлагает более детализированные настройки, позволяющие контролировать доступ к определённым ресурсам:
GitHub – AJRepo/apparmor-skype
Вы можете следовать инструкциям в репозитории, чтобы внести необходимые изменения в профиль AppArmor Skype, что позволит улучшить взаимодействие приложения с системой.
Проблема, с которой вы столкнулись, не уникальна, и ее решение требует немного внимания как к параметрам конфигурации системы, так и к специфике работы приложения. Надеюсь, предоставленная информация будет вам полезна.