问题标签 [apparmor]

今天早上我注意到我的 mysql 服务器没有运行。查看日志，我找到了以下信息。虽然比较麻烦的是mysqld服务内存不足被杀，但是更麻烦的是mysql无法重启。

关于为什么mysql无法重生的任何想法？我如何测试以确保如果进程被杀死它会重生？

谢谢你。

我对服务器安全完全陌生，我正在从事一个项目，让我认为我需要从一开始就认真对待它以避免出现问题。

我正在为学生创建一个应用程序，以便从 Web 浏览器运行 python/perl 代码。基本上他们将在前端编写源代码，当他们提交时，将在服务器上创建一个临时文件并执行一个命令，然后创建的文件将在完成后终止进程后销毁。

尽管它看起来很简单，但我希望对此更加安全。我想将所有提交的代码放到一个难以逃脱的容器中，并且降低了无法访问系统的权限。

我正在阅读很多东西，例如 Sandoxes、Jail、AppArmor 等，但对于新手来说，很难通过所有这些内容，尤其是对于不熟悉的文档。

是否有任何关于如何沙箱用户代码/脚本的明确文档，一种循序渐进的教程

谢谢

我正在使用logstash它，它无法读取一些日志文件。为了能够阅读，我想我必须在 apparmor 中添加一个配置文件，但此时我很迷茫。

1. 该应用程序的运行方式为： java -jar .... 我必须为 java 添加配置文件还是有其他更简单的方法？
2. 会简单地添加一条线 /path/to/mylogs r 吗？

谢谢你的帮助。

我需要通过允许它从目录读/写来更改 AppArmor 配置。

我按照文档中的说明添加了必要的行/etc/apparmor.d/local/usr.sbin.mysqld，然后运行aa-logprof以允许修改。有用。

现在我想使用 Puppet 自动执行该操作，但是我找不到aa-logprof. 这里的解决方案是什么？

我只是检查/etc/apparmor.d/usr.sbin.mysqld

我看见，

代表什么rwk？

这是我第一次玩edx。我不知道如何解决这个错误。当我访问 80 端口的网址时，它会询问用户名和密码。

我正在使用虚拟机

有时，在没有任何可识别模式的情况下，MySQL 会重新启动。error.log 或 mysql.log 中没有条目（除了引导和检查表）。

我唯一能确定的是这可以免除 dmesg：

这是否意味着 AppArmor 正在杀死 mysqld，因为它试图访问它的 /dev/tty 并且访问被拒绝？

为什么 mysqld 需要访问它的 /dev/tty 以及 mysqld 配置文件应该允许的更多？如果它经常需要访问 /dev/tty 不应该立即杀死它，而不是偶尔像这样吗？两次“杀戮”之间的时间有时可能是一个月。

提前感谢您的快速回答

这是我的Dockerfile：

这里是usr.bin.nodejs：

我跑来sudo docker build -t scadge/test-one .构建这个图像。在Step 7 : RUN apt-get install -y apparmor-profiles我收到红色消息invoke-rc.d: policy-rc.d denied execution of start和invoke-rc.d: policy-rc.d denied execution of reload. 此外，Step 11 : RUN service apparmor reload我得到以下信息：

..确定apparmor配置文件不起作用。那么如何让 AppArmor 在 Docker 中工作呢？我还想承认，所有这些东西在我的桌面 Ubuntu 14.04 上都可以正常工作，从官方网站下载。

我正在尝试使用 aa-exec 但找不到任何示例。

（在目录 /home/me/opt/blah/ 中运行）产生

我正在尝试为名为 test.rb 的 ruby​​ 文件创建 apparmor 配置文件，并将该文件放在 /root 下，test.rb 包含：

我通过以下方式创建了apparmor配置文件：

上面的命令成功地为那个 test.rb 创建了 apparmor 配置文件，现在我希望这个 test.rb 文件不应该在 /root 目录中创建任何东西，除了读取访问权限。因此，我对 test.rb 文件的 apparmor 配置文件进行了以下更改：

现在我通过以下方式重新启动并重新加载apparmor：

所以我假设当我运行我的 test.rb 时不应该在 /root 目录中创建任何目录，但是当我像这样运行这个文件时：

它在 /root 中创建演示目录

我不明白为什么这会产生这种行为......