[SOLVED] Audit meldet Fehler

M

MetaKnight

New Member
Apr 7, 2025
2
0
1
Hallo zusammen,

normalerweise bin ich eher der stille Mitleser, da ich versuche meine Probleme mit (Linux-)Systemen selbst zu lösen oder im Internet nach dem passenden Lösungsansatz zu suchen.
Aktuell bekomme ich vom Host-System folgende Meldung vom Audit:
Code: 
[Mon Apr  7 08:54:59 2025] audit: type=1400 audit(1744008901.807:4123): apparmor="DENIED" operation="open" class="file" namespace="root//lxc-100_<-var-lib-lxc>" profile="rsyslogd" name="/etc/rsyslog.conf" pid=497506 comm=72733A6D61696E20513A526567 requested_mask="ac" denied_mask="ac" fsuid=100000 ouid=100000
Diese Meldung kommt zyklisch und so wirklich weiß ich bei der Meldung nicht weiter.

Es handelt sich dabei um einen ubuntu 24.04 - LXC - Container, der für openvpn und docker genutzt wird.
Entsprechend der Anleitung habe ich openvpn eingerichtet, damit ich einen Tunnel zu dem Dienst aufbauen kann.

Als Host nutze ich:
- einen AMD Ryzen 5 5500GT
- Gigabyte A520
- 64 GB RAM
- eine NVME mit 250 GB Speicher (darauf läuft der Container)

Das LXC ist wie folgt eingestellt:
- Ein ubuntu 24.04 Template
- 1 GB RAM
- 2 GB SWAP
- Nutzung von 2 Kernen
- unpreviligierter Container
- Nesting ist aktiviert
Firewall ist aktiv (Host und Container) und lässt nur die nötigsten Dienste zu

Wie gesagt, bin mit meinem Latein an der Stelle gerade am Ende ....
 
Willkommen im Proxmox-Forum, MetaKnight!

Normalerweise können solche Audit-Meldungen ignoriert werden, wenn diese zu keinem Fehlverhalten der Programme führen. Ich vermute, dass wenn innerhalb des Containers der rsyslogd Daemon gestartet wird die /etc/rsyslog.conf Konfigurationsdatei als erstes ausgelesen wird, aber auf diese der Zugriff verweigert wird. Oder wird dieser Daemon für die richtige Funktion von OpenVPN / den Container gebraucht?
 
  • Like
Reactions: MetaKnight
dakralex said:
Willkommen im Proxmox-Forum, MetaKnight!

Normalerweise können solche Audit-Meldungen ignoriert werden, wenn diese zu keinem Fehlverhalten der Programme führen. Ich vermute, dass wenn innerhalb des Containers der rsyslogd Daemon gestartet wird die /etc/rsyslog.conf Konfigurationsdatei als erstes ausgelesen wird, aber auf diese der Zugriff verweigert wird. Oder wird dieser Daemon für die richtige Funktion von OpenVPN / den Container gebraucht?
Click to expand...
Hallo @dakralex und danke für deine Antwort. Tatsächlich wird dieser Dienst für den einwandfreien gebraucht meines VPN benötigt, jedoch scheint in dem LXC der Deamon korrekt zu laufen. Melde ich mich falsch bei meiner Cloud an, so kriege ich die passenden Logmeldungen auf den VPN-LXC übertragen und fail2ban kann normal arbeiten.
Ich habe aber noch einmal in die Konfiguration geschaut und mit deinem Hinweis einen interessanten Fehler meinerseits entdeckt. Ich hatte einen rekursiven Aufruf der Konfiguration in der Konfiguration, was zu dem Fehler geführt hat.
Gleichzeitig habe ich noch an anderer Stelle einen Konfigurationsfehler entdeckt, den ich aufgrund von "schnell - schnell" übersehen habe.

Großen Dank an deine Hilfe bzw. den Hinweis, womit ich nun keine Meldungen mehr im Hostsystem erhalte.
 
MetaKnight said:
Ich habe aber noch einmal in die Konfiguration geschaut und mit deinem Hinweis einen interessanten Fehler meinerseits entdeckt. Ich hatte einen rekursiven Aufruf der Konfiguration in der Konfiguration, was zu dem Fehler geführt hat.
Gleichzeitig habe ich noch an anderer Stelle einen Konfigurationsfehler entdeckt, den ich aufgrund von "schnell - schnell" übersehen habe.

Großen Dank an deine Hilfe bzw. den Hinweis, womit ich nun keine Meldungen mehr im Hostsystem erhalte.
Click to expand...
Freut mich zu hören, dass du den Fehler nun beheben konntest!
 
You must log in or register to reply here.
Top Bottom