-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2008-01-31 a las 14:51 +0100, Carlos E. R. escribió:
...
He tenido que desactivar completamente el armor de syslog para que funcione. Lo he puesto en modo "complain", pero no "complaina", el log está a cero. Si lo reactivo, no va. El armor me está tocando las narices.
Tendrás que afinarlo, crear alguna regla / perfil específica para que ese programita se pueda ejecutar sin problemas... ¿No hay una lista blanca de aplicaciones como en el SA? O:-)
Lo tenía medio afinado cuando dejó de funcionar. Ahora mismo, el apparmor deniega el permiso, pero no escribe nada en su propio log, por lo que me es imposible afinar el perfil (/etc/apparmor.d/sbin.syslog-ng). Y eso es otro bug >:-)
Así que no he tenido más remedio que desactivar el perfil.
Fíjate que afinar este perfil es un peñazo de cuidado.
Hay que decirle al apparmour que deje que el syslog ejecute el programa externo, o bien en modo "confined" o "unconfined". En el primer caso hereda todas las prohibiciones, en el segundo ninguna. En el segundo caso funciona bien, pero es peligroso, se supone. En el primer caso es un peñazo, porque como el filtro llama a varios otros programas: expect, ssh, grep y cut, pues a todos ellos también hay que darles permiso. Y como el expect parece que usa tcl y abre o mira un montón de ficheros, pues no veas la cantidad de cosas que hay que abrirle para que funcione.
- -- Saludos Carlos E.R.