Início / ubuntu / Perguntas / 1536716
Accepted
Brendan
Asked: 2024-12-30 01:14:03 +0800 CST

Por que não consigo desabilitar o AppArmor em 24.04.1

  • 772

Uma pergunta meio sobreposta aqui . Estou tentando desabilitar o AppArmor em todo o sistema. Depois de fazer isso:

sudo systemctl stop apparmor
sudo systemctl disable apparmor

E reiniciando, eu tenho:

❯❯  sudo aa-status | egrep '^[0-9]'
48 profiles are loaded.
41 profiles are in enforce mode.
7 profiles are in complain mode.
0 profiles are in prompt mode.
0 profiles are in kill mode.
0 profiles are in unconfined mode.
17 processes have profiles defined.
17 processes are in enforce mode.
0 processes are in complain mode.
0 processes are in prompt mode.
0 processes are in kill mode.
0 processes are unconfined but have a profile defined.
0 processes are in mixed mode.

❯❯  sudo aa-enabled
Yes

❯❯  sudo systemctl status apparmor
○ apparmor.service - Load AppArmor profiles
     Loaded: loaded (/usr/lib/systemd/system/apparmor.service; disabled; preset: enabled)
     Active: inactive (dead)
       Docs: man:apparmor(7)
             https://gitlab.com/apparmor/apparmor/wikis/home/

Se eu fizer algo que viole a política (no meu caso, criar um namespace de usuário), recebo algo como isto no meu log do kernel, o que parece confirmar que o AppArmor está em vigor:

[  942.570952] audit: type=1400 audit(1735492407.323:89): apparmor="DENIED" operation="userns_create" class="namespace" info="Userns create restricted - failed to find unprivileged_userns profile" error=-13 profile="unconfined" pid=6227 comm="python" requested="userns_create" denied="userns_create" target="unprivileged_userns"
apparmor

2 respostas

  1. Best Answer

    Desabilitando o apparmor por

    sudo systemctl stop apparmor
sudo systemctl disable apparmor

    Não vai funcionar, eu também tive esse problema e perdi muito tempo.

    Para desabilitar completamente o apparmor, você precisa adicionar um comando especial ao arquivo de configuração do grub e reiniciar sua máquina. Para sua conveniência, preparei um oneliner para fazer isso:

    Para desligar o AppArmor:

    sudo sed -i 's/^GRUB_CMDLINE_LINUX=""/GRUB_CMDLINE_LINUX="apparmor=0"/' /etc/default/grub && sudo update-grub && sudo reboot

    Para ativar o AppArmor:

    sudo sed -i 's/^GRUB_CMDLINE_LINUX="apparmor=0"/GRUB_CMDLINE_LINUX=""/' /etc/default/grub && sudo update-grub && sudo reboot
    • 3

  2. Para dar mais detalhes sobre o comentário de Thomas Ward, abra o arquivo /etc/default/grubcom sudo e altere a linha
    GRUB_CMDLINE_LINUX=""
    para
    GRUB_CMDLINE_LINUX="apparmor=0"
    Executar sudo update-grube reiniciar.

    Nota: Desabilitar o AppAmor no Ubuntu, conforme descrito nesta resposta, remove uma camada de segurança que é projetada para manter seu sistema seguro. No entanto, esta é uma linha de ação que pode ser tomada por um usuário experiente e bem informado.

    A decisão da Canonical de restringir namespaces de usuários sem privilégios quebrou muitos programas e, na minha opinião, não deveria ter sido feita de forma alguma. Muito menos em uma versão .1; essa deve ser a atualização mais segura de todas.

    • 2

relate perguntas