Информация
Услуги
  • Внедрение
  • Настройка
  • Поддержка
  • Ремонт
Контакты
Оплата
Новости
Доставка
Загрузки
Форум
Настройка
    info@proxmox.su
    +7 (495) 320-70-49
    Заказать звонок
    Аспро: ЛайтШоп
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Аспро: ЛайтШоп
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Аспро: ЛайтШоп
    Телефоны
    +7 (495) 320-70-49
    Заказать звонок
    0
    0
    0
    Аспро: ЛайтШоп
    • +7 (495) 320-70-49
      • Назад
      • Телефоны
      • +7 (495) 320-70-49
      • Заказать звонок
    • info@proxmox.su
    • Москва, Бакунинская улица, 69с1
    • Пн-Пт: 09-00 до 18-00
      Сб-Вс: выходной
    • 0 Сравнение
    • 0 Избранное
    • 0 Корзина
    Главная
    Форум
    Proxmox Виртуальная Среда
    AppArmor запретил запуск службы named

    Форумы: Proxmox Виртуальная Среда, Proxmox Backup Server, Proxmox Mail Gateway, Proxmox Datacenter Manager
    Поиск  Пользователи  Правила  Войти
    Страницы: 1
    RSS
    AppArmor запретил запуск службы named, Proxmox Виртуальная Среда
     
    Ymo
    Guest
    #1
    0
    16.10.2015 18:10:00
    Привет! Сейчас у меня запущен контейнер CentOS 7 LXC на Proxmox 4. Когда пытаюсь стартовать named, получаю ошибку “Permission denied” при попытке проверить /etc/named.conf. Вот что systemd выдаёт в гостевой системе:  
    Код:  
    systemd[2004]: Failed at step NAMESPACE spawning /usr/sbin/named-checkconf: Permission denied

    На хостовой системе в syslog вижу следующее:  
    Код:  
    [ 3103.353857] audit: type=1400 audit(1445010184.626:58): apparmor="DENIED" operation="mount" info="failed flags match" error=-13 profile="lxc-container-default" name="/" pid=17805 comm="mount" flags="rw, remount"

    А через auditd получаю это:  
    Код:  
    type=AVC msg=audit(1445011335.870:74): apparmor="DENIED" operation="mount" info="failed flags match" error=-13 profile="lxc-container-default" name="/" pid=26196 comm="(heckconf)" flags="rw, rslave"  
    type=SYSCALL msg=audit(1445011335.870:74): arch=c000003e syscall=165 success=no exit=-13 a0=0 a1=55cb087ca8ee a2=0 a3=84000 items=0 ppid=17627 pid=26196 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=1 comm="(heckconf)" exe="/usr/lib/systemd/systemd" key=(null)  
    type=PROCTITLE msg=audit(1445011335.870:74): proctitle="(heckconf)"  
    type=SERVICE_START msg=audit(1445011335.898:75): pid=17627 uid=0 auid=1000 ses=1 msg=' comm="named" exe="/usr/lib/systemd/systemd" hostname=? addr=? terminal=? res=failed'  

    Есть ли кто с опытом работы с AppArmor, кто может подсказать, как решить эту проблему?
     
     
     
    wheaties82
    Guest
    #2
    0
    05.11.2015 02:33:00
    Я пока не слышал о каком-то более удачном способе заставить named и AppArmor работать вместе. Отключайте на свой страх и риск.
     
     
     
    Ovidiu
    Guest
    #3
    0
    03.11.2015 23:35:00
    У меня есть похожие логи apparmor, стоит ли мне тоже последовать твоему совету и отключить профиль apparmor для named? Код: kernel: [84924.943455] audit: type=1400 audit(1446588837.269:739): apparmor="DENIED" operation="sendmsg" profile="/usr/sbin/named" name="/run/systemd/journal/dev-log" pid=1157 comm="named" requested_mask="w" denied_mask="w" fsuid=109 ouid=0
     
     
     
    TBarbette
    Guest
    #4
    0
    10.11.2015 14:15:00
    У меня всё та же проблема... Но у меня named установлен не на машине с Proxmox, а только внутри контейнера. Поэтому файл /etc/apparmor.d/usr.sbin/named не существует, и я не могу применить предложенное решение.  
    Nov 10 14:10:50 charlemagne kernel: [340367.115654] audit: type=1400 audit(1447161050.952:16): apparmor="DENIED" operation="mount" info="failed flags match" error=-13 profile="lxc-container-default" name="/" pid=6081 comm="(heckconf)" flags="rw, rslave"
    Гость — Centos 7.
     
     
     
    matthew
    Guest
    #5
    0
    10.11.2015 22:55:00
    Вижу ту же проблему. Не могу запустить named в контейнере LXC на Centos 7.
     
     
     
    matthew
    Guest
    #6
    0
    11.11.2015 22:52:00
    Кто-нибудь пробовал этот способ решения? http://forum.proxmox.com/threads/24416-Centos-7-LXC-Container-and-Bind?p=122896#post122896
     
     
     
    TBarbette
    Guest
    #7
    0
    13.11.2015 10:36:00
    Я вернулся к KVM. Мои контейнеры LXC тоже нельзя нормально забэкапить... Пожалуй, подожду, пока поддержка LXC CT не станет более зрелой и стабильной, чтобы не пришлось везде что-то колхозить.
     
     
     
    wbumiller
    Guest
    #8
    0
    13.11.2015 11:06:00
    Моё мнение: с тем, как сейчас всё развивается (за исключением Proxmox), в контейнерах всегда будет, что подсунуть и понастраивать. С появлением SystemD люди начали добавлять флаги для использования разных возможностей (приватные каталоги, изменение неймспейсов и прочее), и большинство при написании сервисных файлов вообще не думает о контейнерах. К тому же AppArmor версии 3 всё ещё глючит, и, похоже, без контейнеров его почти никто не использует. Похоже, что LXD тоже не использует AppArmor, а вместо этого применяет непривилегированные контейнеры (так решаются одни проблемы, но появляются другие...). Мы тоже сейчас экспериментируем с поддержкой непривилегированных контейнеров, так что это может помочь.
     
     
     
    matthew
    Guest
    #9
    0
    14.11.2015 01:02:00
    (Мы сейчас экспериментируем с поддержкой непривилегированных контейнеров, так что это может помочь). Как идут дела? Это планируют внедрять?
     
     
     
    matthew
    Guest
    #10
    0
    26.12.2015 20:24:00
    Итак, как работают непривилегированные контейнеры в версии 4.1? Как их включить? Можно ли теперь безопасно отключить AppArmor или как это вообще работает?
     
     
     
    Страницы: 1
    Читают тему
    +7 (495) 320-70-49
    info@proxmox.su

    Конфиденциальность Оферта
    © 2026 Proxmox.su
    Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры