Синхронизироваться не запускается на Ubuntu 16.04
у меня проблема после установки синхронизироваться на Ubuntu 16.04.2 х64 (это может произойти по другой версии). В openntp служба не хочет, чтобы начать в логах я вижу:
Apr 14 12:00:00 my-host kernel: [24.6] type=1400 audit(1.2:1): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/ntpd" name="/etc/openntpd/ntpd.conf" pid=1526 comm="ntpd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
6 ответов
Проблема заключалась в том, что apparmor и ntpd (not openntpd) при установке openntpd удалили пакет по умолчанию ntpd, но не удалили / не редактировали правила apparmor /etc/apparmor.d/usr.sbin.ntpd Вы можете удалить правила или просто исправить их, добавив строки /etc/openntpd/ntpd.conf r, и /{,var/}lib/openntpd/run/ntpd.sock rwl, после строки /etc/ntp.conf r, После этого перезапустите apparmor и запустите openntpd.
sudo service apparmor restart
sudo service openntpd start
Кроме того, вместо добавления строки непосредственно к /etc/apparmor.d/usr.sbin.ntpd вы можете добавить ее в файл сайта /etc/apparmor.d/local/usr.sbin.ntpd
В пользу читателя:
Проблема связана с предыдущей установкой пакета ntp. Когда ntp заменяется на openntpd, он оставляет некоторые файлы конфигурации вокруг, один из которых - /etc/apparmor.d/usr.sbin.ntpd. Это запустит openntpd. ntp обычно устанавливается по умолчанию, поэтому обычно это происходит после установки openntpd, когда активен apparmor.
Решение:
sudo apt-get purge ntp
sudo /etc/init.d/apparmor reload
sudo /etc/init.d/openntpd restart
Если вам нравится использовать apparmor с openntpd (вы, вероятно, переключились на openntpd, чтобы иметь что-то более безопасное, верно?), вот что я добавил как /etc/apparmor.d/openntpd (я не знаю, завершено ли это. моя сторона до сих пор):
# vim:syntax=apparmor
#include <tunables/global>
/usr/sbin/ntpd {
#include <abstractions/base>
#include <abstractions/nameservice>
#include <abstractions/user-tmp>
/etc/openntpd/ntpd.conf r,
/var/lib/openntpd/run/ntpd.sock rw,
/var/lib/openntpd/db/ntpd.drift rw,
capability sys_time,
capability sys_nice,
capability sys_chroot,
capability setgid,
capability setuid,
capability kill,
}
Почему бы не «исправить» /etc/apparmor.d/usr.sbin.ntpd для openntpd?
Поскольку ntp является ресурсным монстром. Для этого нужны полки разрешений, которые не нужны для openntpd. Правильнее всего это ограничить openntpd тем, что ему нужно, а не то, что нужно ntp.
BTW: Вероятно, лучшим решением было бы то, что Canonical добавит правильный /etc/apparmor.d/usr.sbin.ntpd для пакета openntpd, который затем переопределяет слева над config из ntp. Это можно считать ошибкой в Ubuntu 16.04.
Проблема заключалась в том, что apparmor и ntpd (not openntpd) при установке openntpd удалили пакет по умолчанию ntpd, но не удалили / не редактировали правила apparmor /etc/apparmor.d/usr.sbin.ntpd Вы можете удалить правила или просто исправить их, добавив строки /etc/openntpd/ntpd.conf r, и /{,var/}lib/openntpd/run/ntpd.sock rwl, после строки /etc/ntp.conf r, После этого перезапустите apparmor и запустите openntpd.
sudo service apparmor restart
sudo service openntpd start
Кроме того, вместо добавления строки непосредственно к /etc/apparmor.d/usr.sbin.ntpd вы можете добавить ее в файл сайта /etc/apparmor.d/local/usr.sbin.ntpd
В пользу читателя:
Проблема связана с предыдущей установкой пакета ntp. Когда ntp заменяется на openntpd, он оставляет некоторые файлы конфигурации вокруг, один из которых - /etc/apparmor.d/usr.sbin.ntpd. Это запустит openntpd. ntp обычно устанавливается по умолчанию, поэтому обычно это происходит после установки openntpd, когда активен apparmor.
Решение:
sudo apt-get purge ntp
sudo /etc/init.d/apparmor reload
sudo /etc/init.d/openntpd restart
Если вам нравится использовать apparmor с openntpd (вы, вероятно, переключились на openntpd, чтобы иметь что-то более безопасное, верно?), вот что я добавил как /etc/apparmor.d/openntpd (я не знаю, завершено ли это. моя сторона до сих пор):
# vim:syntax=apparmor
#include <tunables/global>
/usr/sbin/ntpd {
#include <abstractions/base>
#include <abstractions/nameservice>
#include <abstractions/user-tmp>
/etc/openntpd/ntpd.conf r,
/var/lib/openntpd/run/ntpd.sock rw,
/var/lib/openntpd/db/ntpd.drift rw,
capability sys_time,
capability sys_nice,
capability sys_chroot,
capability setgid,
capability setuid,
capability kill,
}
Почему бы не «исправить» /etc/apparmor.d/usr.sbin.ntpd для openntpd?
Поскольку ntp является ресурсным монстром. Для этого нужны полки разрешений, которые не нужны для openntpd. Правильнее всего это ограничить openntpd тем, что ему нужно, а не то, что нужно ntp.
BTW: Вероятно, лучшим решением было бы то, что Canonical добавит правильный /etc/apparmor.d/usr.sbin.ntpd для пакета openntpd, который затем переопределяет слева над config из ntp. Это можно считать ошибкой в Ubuntu 16.04.
Проблема заключалась в том, что apparmor и ntpd (not openntpd) при установке openntpd удалили пакет по умолчанию ntpd, но не удалили / не редактировали правила apparmor /etc/apparmor.d/usr.sbin.ntpd Вы можете удалить правила или просто исправить их, добавив строки /etc/openntpd/ntpd.conf r, и /{,var/}lib/openntpd/run/ntpd.sock rwl, после строки /etc/ntp.conf r, После этого перезапустите apparmor и запустите openntpd.
sudo service apparmor restart
sudo service openntpd start
Кроме того, вместо добавления строки непосредственно к /etc/apparmor.d/usr.sbin.ntpd вы можете добавить ее в файл сайта /etc/apparmor.d/local/usr.sbin.ntpd
В пользу читателя:
Проблема связана с предыдущей установкой пакета ntp. Когда ntp заменяется на openntpd, он оставляет некоторые файлы конфигурации вокруг, один из которых - /etc/apparmor.d/usr.sbin.ntpd. Это запустит openntpd. ntp обычно устанавливается по умолчанию, поэтому обычно это происходит после установки openntpd, когда активен apparmor.
Решение:
sudo apt-get purge ntp
sudo /etc/init.d/apparmor reload
sudo /etc/init.d/openntpd restart
Если вам нравится использовать apparmor с openntpd (вы, вероятно, переключились на openntpd, чтобы иметь что-то более безопасное, верно?), вот что я добавил как /etc/apparmor.d/openntpd (я не знаю, завершено ли это. моя сторона до сих пор):
# vim:syntax=apparmor
#include <tunables/global>
/usr/sbin/ntpd {
#include <abstractions/base>
#include <abstractions/nameservice>
#include <abstractions/user-tmp>
/etc/openntpd/ntpd.conf r,
/var/lib/openntpd/run/ntpd.sock rw,
/var/lib/openntpd/db/ntpd.drift rw,
capability sys_time,
capability sys_nice,
capability sys_chroot,
capability setgid,
capability setuid,
capability kill,
}
Почему бы не «исправить» /etc/apparmor.d/usr.sbin.ntpd для openntpd?
Поскольку ntp является ресурсным монстром. Для этого нужны полки разрешений, которые не нужны для openntpd. Правильнее всего это ограничить openntpd тем, что ему нужно, а не то, что нужно ntp.
BTW: Вероятно, лучшим решением было бы то, что Canonical добавит правильный /etc/apparmor.d/usr.sbin.ntpd для пакета openntpd, который затем переопределяет слева над config из ntp. Это можно считать ошибкой в Ubuntu 16.04.