Профиль apparmor, распределенный с 16,04 для ejabberd, приводит к контрольным записям, записанным в системный журнал, подобный следующему, когда ejabberdctl сценарий выполняется.
Dec 28 13:44:09 xxx kernel: [846824.223510] audit: type=1400 audit(1482954249.017:51607): apparmor="DENIED" operation="file_mmap" profile="/usr/sbin/ejabberdctl//su" name="/bin/su" pid=26155 comm="su" requested_mask="m" denied_mask="m" fsuid=0 ouid=0
Если я изменяю su шляпу в профиле apparmor в/etc/apparmor.d/usr.sbin.ejabberdctl от:
/bin/su r,
кому:
/bin/su rm,
затем не перезагрузите профиль сценарий больше segfaults и выполнения как ожидалось. Вместо того, чтобы иметь необходимость изменить распределенный профиль я хотел бы знать, может ли это изменение быть внесено в/etc/apparmor.d/local/usr.sbin.ejabberdctl. Когда я попробовал это прежде, чем внести изменение в распределенный профиль, я получаю эту ошибку.
# apparmor_parser -r /etc/apparmor.d/usr.sbin.ejabberdctl
Multiple definitions for hat su in profile (null) exist,bailing out.