カーネルの変更以降、Apparmorはいくつかのプロセスを拒否します
私はたまたま非常に奇妙な問題に遭遇しました。私は4月頃からUbuntu 17.10を開発モードで実行しています。DellPrecisionで発生していたサスペンドとGPUの厄介な問題を回避するために、最新のカーネルRCを使用するように努めてきました。
4.14-rc2をインストールしたので、突然WiFi接続が失われました。 bisectを実行した後、問題を カーネルのチェンジセット に絞り込み、Apparmorを更新しました。
journalctl -xeの出力を見ると、そのようなエラーがたくさん表示されていることがわかりました。
Oct 27 14:45:48 precision audit[6088]: AVC apparmor="DENIED" operation="create" profile="/sbin/dhclient" pid=6088 comm="dhclient" family="unix" sock_type="stream" protocol=0 requested_mask="create" denied_mask="create"
このようなエラーは、プロセスmysqld、avahi-daemon、cups-browsedでも発生しました。次のコマンドを使用して、これらのプロセスのプロファイルを無効にしました。
$ Sudo ln -s /etc/apparmor.d/sbin.dhclient /etc/apparmor.d/disable
$ Sudo apparmor_parser -R /etc/apparmor.d/sbin.dhclient
ブーム、WiFiが戻ってきました。しかし、これはこの状況に対処する正しい方法ですか?代わりにプロファイルを変更するか、それについてLaunchpadにバグを送信する必要がありますか?
はい、カーネルセキュリティ(apparmorなど)への大きな変更は、いくつかの問題のためにカーネル4.14-rc1を見落としましたが、カーネル4.14-rc2に含まれていました。そして、はい、下位互換性のない変更があります。
私自身、apparmorを無効にしてカーネルをコンパイルするか、または単に無効にして起動するだけです。つまり、 `/ etc/default/grub":
#GRUB_CMDLINE_LINUX_DEFAULT="ipv6.disable=1 consoleblank=300"
GRUB_CMDLINE_LINUX_DEFAULT="ipv6.disable=1 consoleblank=300 apparmor=0"
関連するランチパッドのバグレポート(説明が少し間違っている場合でも)は ここ です。いくつかの回避策があります。
リリース候補のカーネルは実際にはここではサポートされていないため、この質問と回答が保留になる可能性があることに注意してください。
編集: バグレポートの最新のエントリー:
問題の原因となったカーネルパッチは元に戻されました。したがって、4.14-rc7は4.14-rc2より前と同様に機能するはずです。