Proxmox Ubuntu lxc Container mit snapd / Fehlermeldungen

R

redjohn

Renowned Member
Apr 22, 2016
132
4
83
28
Hallo zusammen,

Ich habe ein Problem mit snapd in Ubuntu 18.04 lxc Containern. In meiner lxc config habe ich bereits folgendes hInzugefügt.

Code: 
features: nesting=1,fuse=1,mount=nfs
lxc.cap.drop:
I can start the snapd container with rocketchat server but in syslog I have the following error:

Code: 
 audit: type=1400 audit(1567013721.993:14130357): apparmor="DENIED" operation="open" namespace="root//lxc-111_<-var-lib-lxc>" profile="snap.rocketchat-server.rocketchat-mongo" name="/proc/549/net/netstat" pid=2002 comm="ftdc" requested_mask="r" denied_mask="r" fsuid=0 ouid=0

Code: 
audit: type=1400 audit(1567013803.088:14130495): apparmor="STATUS" operation="profile_load" label="lxc-111_</var/lib/lxc>//&:lxc-111_<-var-lib-lxc>:unconfined" name="/usr/bin/man" pid=26358 comm="apparmor_parser"

Code: 
audit: type=1400 audit(1567013816.156:14130559): apparmor="DENIED" operation="ptrace" namespace="root//lxc-111_<-var-lib-lxc>" profile="snap.rocketchat-server.rocketchat-server" pid=27441 comm="ps" requested_mask="trace" denied_mask="trace" peer="unconfined"

Ich weiß nicht was ich noch machen soll mein syslog läuft damit voll. Hunderte Einträge. Hat jemand eine Idee?

Vielen Dank

Oliver
 
Es wirkt als wäre das eine weitere Auswirkung von diesem Bug. Verschwinden die Meldungen wenn man den dortigen Workaround verwendet? (also lxc.apparmor.raw: mount, inkl. dem Beistrich in die LXC config)
 
Stefan_R said:
Es wirkt als wäre das eine weitere Auswirkung von diesem Bug. Verschwinden die Meldungen wenn man den dortigen Workaround verwendet? (also lxc.apparmor.raw: mount, inkl. dem Beistrich in die LXC config)
Click to expand...


Hallo und schon mal Danke für den Tipp. Leider weiterhin Fehler im syslog:

Code: 
 kernel: [14505760.850615] audit: type=1400 audit(1567521562.111:15147905): apparmor="DENIED" operation="ptrace" namespace="root//lxc-900_<-var-lib-lxc>" profile="snap.rocketchat-server.rocketchat-server" pid=12277 comm="ps" requested_mask="trace" denied_mask="trace" peer="unconfined"
 kernel: [14505767.574700] audit: type=1400 audit(1567521568.995:15147933): apparmor="DENIED" operation="open" namespace="root//lxc-900_<-var-lib-lxc>" profile="snap.rocketchat-server.rocketchat-mongo" name="/proc/625/net/snmp" pid=11748 comm="ftdc" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
 kernel: [14505779.526579] audit: type=1400 audit(1567521580.995:15147956): apparmor="DENIED" operation="open" namespace="root//lxc-900_<-var-lib-lxc>" profile="snap.rocketchat-server.rocketchat-mongo" name="/proc/625/net/netstat" pid=11748 comm="ftdc" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
 kernel: [14505781.526475] audit: type=1400 audit(1567521582.995:15147960): apparmor="DENIED" operation="open" namespace="root//lxc-900_<-var-lib-lxc>" profile="snap.rocketchat-server.rocketchat-mongo" name="/proc/625/net/netstat" pid=11748 comm="ftdc" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
 kernel: [14505784.526617] audit: type=1400 audit(1567521585.995:15147966): apparmor="DENIED" operation="open" namespace="root//lxc-900_<-var-lib-lxc>" profile="snap.rocketchat-server.rocketchat-mongo" name="/proc/625/net/netstat" pid=11748 comm="ftdc" requested_mask="r" denied_mask="r" fsuid=0 ouid=0

Noch eine Idee wie ich das abstellen kann? Ich würde ungern mein syslog damit "voll müllen".

Danke,

Oliver
 
Nach etwas testen konnte ich den Fehler reproduzieren - es handelt sich allerdings um keinen LXC Fehler, die Meldungen stammen von einem Fehlerhaften AppArmor profil für die MongoDB Instanz von rocketchat.

Ein workaround wäre, das Profil manuell zu bearbeiten:

Code: 
$ editor /var/lib/snapd/apparmor/profiles/snap.rocketchat-server.rocketchat-mongo

# am Ende, vor der letzten '}':
@{PROC}/*/net/snmp
@{PROC}/*/net/netstat

Man beachte allerdings, dass diese Regeln jederzeit von snap gelöscht oder wiederhergestellt werden können.

Es ist wahrscheinlich sinnvoller, das als upstream bug bei Rocket.Chat oder snap zu melden.

PS: Bitte vermeide das Posten in mehreren Foren - führt nur zu Verwirrung.
 
Stefan_R said:
Nach etwas testen konnte ich den Fehler reproduzieren - es handelt sich allerdings um keinen LXC Fehler, die Meldungen stammen von einem Fehlerhaften AppArmor profil für die MongoDB Instanz von rocketchat.

Ein workaround wäre, das Profil manuell zu bearbeiten:

Code: 
$ editor /var/lib/snapd/apparmor/profiles/snap.rocketchat-server.rocketchat-mongo

# am Ende, vor der letzten '}':
@{PROC}/*/net/snmp
@{PROC}/*/net/netstat

Man beachte allerdings, dass diese Regeln jederzeit von snap gelöscht oder wiederhergestellt werden können.

Es ist wahrscheinlich sinnvoller, das als upstream bug bei Rocket.Chat oder snap zu melden.

PS: Bitte vermeide das Posten in mehreren Foren - führt nur zu Verwirrung.
Click to expand...

Hallo,

nochmals danke für deine Antwort. Leider sind die Fehlermeldungen auch nach einfügen der Zeilen immer noch vorhanden.

Code: 
kernel: [14505760.850615] audit: type=1400 audit(1567521562.111:15147905): apparmor="DENIED" operation="ptrace" namespace="root//lxc-900_<-var-lib-lxc>" profile="snap.rocketchat-server.rocketchat-server" pid=12277 comm="ps" requested_mask="trace" denied_mask="trace" peer="unconfined"
 kernel: [14505767.574700] audit: type=1400 audit(1567521568.995:15147933): apparmor="DENIED" operation="open" namespace="root//lxc-900_<-var-lib-lxc>" profile="snap.rocketchat-server.rocketchat-mongo" name="/proc/625/net/snmp" pid=11748 comm="ftdc" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
 kernel: [14505779.526579] audit: type=1400 audit(1567521580.995:15147956): apparmor="DENIED" operation="open" namespace="root//lxc-900_<-var-lib-lxc>" profile="snap.rocketchat-server.rocketchat-mongo" name="/proc/625/net/netstat" pid=11748 comm="ftdc" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
 kernel: [14505781.526475] audit: type=1400 audit(1567521582.995:15147960): apparmor="DENIED" operation="open" namespace="root//lxc-900_<-var-lib-lxc>" profile="snap.rocketchat-server.rocketchat-mongo" name="/proc/625/net/netstat" pid=11748 comm="ftdc" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
 kernel: [14505784.526617] audit: type=1400 audit(1567521585.995:15147966): apparmor="DENIED" operation="open" namespace="root//lxc-900_<-var-lib-lxc>" profile="snap.rocketchat-server.rocketchat-mongo" name="/proc/625/net/netstat" pid=11748 comm="ftdc" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
 
Ein Neustart des containers ist notwendig um die Regeln zu laden. Die ptrace Meldungen werden nicht davon beeinflusst, dafür wären weitere Regeln notwendig.

Allerdings, wie gesagt, handelt es sich dabei um ein Problem mit dem Snap-Paket von Rocket.Chat, und der Workaround ist ohne jede Garantie zu betrachten. In meinen Tests konnte er die Meldungen reduzieren, man muss sich aber natürlich auch gewisser Sicherheitsrisiken bewusst sein, die u.U. dadurch auftreten.
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back