apparmor="DENIED" #632
Description
Beim Aufruf von ionosctl aus einem CRON-Job (Snap-Version) wird der Zugriff auf /proc//mountinfo durch AppArmor blockiert. Dadurch erscheint eine apparmor="DENIED"-Meldung im Kernel-Log; je nach Fehlerbehandlung kann der Befehl fehlschlagen oder eingeschränkt funktionieren.
Systemumgebung:
Distribution: Ubuntu 24.04.3 LTS (GNU/Linux 6.8.0-87-generic x86_64) (mit AppArmor und Snap)
ionosctl: Snap-Paket (Befehl: ionosctl server start ... --wait-for-request)
Aufrufkontext: CRON als root
Relevanter Logauszug (journalctl):
Jan 20 19:19:01 testisd CRON[335875]: (root) CMD (ionosctl server start --datacenter-id xxxxx --server-id xxxxx --wait-for-request)
Jan 20 19:19:01 testisd systemd[6743]: Started snap.ionosctl.ionosctl-adbb6b77-7543-49d7-9d1f-5dfe2f756883.scope.
Jan 20 19:19:01 testisd kernel: audit: type=1400 audit(1768933141.656:159): apparmor="DENIED" operation="open" class="file" profile="snap.ionosctl.ionosctl" name="/proc/335876/mountinfo" pid=335876 comm="ionosctl" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
Erwartetes Verhalten:
ionosctl sollte ohne AppArmor-Denials laufen oder das AppArmor-Profil sollte den benötigten Lesezugriff auf /proc/*/mountinfo explizit erlauben.
Tatsächliches Verhalten:
AppArmor verweigert den Lesezugriff auf /proc//mountinfo.
Es erscheinen wiederholt apparmor="DENIED"-Einträge im Kernel-/System-Log.
Vorschlag:
Überprüfung und Anpassung des AppArmor-Profils für das Snap snap.ionosctl.ionosctl, um den Lesezugriff auf /proc/*/mountinfo für den ionosctl-Prozess zu erlauben.