Problema de inicialização do AppArmor no Manjaro

tripoway · Janeiro 8, 2022, 7:34pm

Faz poucas semanas que fiz uma instalação de Manjaro XFCE minimal.

Fui instalar AppArmor via pacman e correu tudo bem, também ativei o serviço junto com a inicialização do sistema, como diz a wiki do manjaro.

O que eu não fiz foi seguir a instrução para adicionar o apparmor no boot com

lsm=landlock,lockdown,yama,apparmor,bpf

Já que não entendi muito bem o que era e não encontrei nada de significante na documentação ou em outros fóruns, fora que ainda não mexo com configuração de kernel.

Fazendo man apparmor também não consegui pensar em nada.

Quando tento aa-enabled o resultado é

N?o - desligado ao iniciar.

E com aa-status o resultado é

apparmor module is loaded.
apparmor filesystem is not mounted.

E quando tento sudo journalctl -fx como diz o site do AppArmor, encontrei:

jan 08 12:04:52 dario-pc systemd[1]: systemd 250-5-manjaro running in system mode (+PAM +AUDIT -SELINUX -APPARMOR -IMA +SMACK +SECCOMP +GCRYPT +GNUTLS +OPENSSL +ACL +BLKID +CURL +ELFUTILS +FIDO2 +IDN2 -IDN +IPTC +KMOD +LIBCRYPTSETUP +LIBFDISK +PCRE2 -PWQUALITY +P11KIT -QRENCODE +BZIP2 +LZ4 +XZ +ZLIB +ZSTD -BPF_FRAMEWORK +XKBCOMMON +UTMP -SYSVINIT default-hierarchy=unified)
jan 08 12:04:52 dario-pc systemd[1]: Load AppArmor profiles was skipped because of a failed condition check (ConditionSecurity=apparmor).

Queria saber se alguém faz ideia do que pode ser o problema. Preciso mesmo adicionar a inicialização no boot?

tripoway · Fevereiro 1, 2022, 4:38pm

Eis como acabei resolvendo:

Para que o AppArmor funcione a partir do boot é necessário adicionar os parâmetros ao grub, o que pra mim que nunca tinha mexido parecia perigoso. Então pra quem como eu não sabe, vou deixar detalhado aqui

Embora a wiki do Manjaro não ajude e a do Arch Linux seja resumida, a solução usando nano foi:

sudo nano /etc/default/grub

Adicionar apparmor=1 security=apparmor dentro dos parênteses da linha GRUB_CMDLINE_LINUX_DEFAULT. Exemplo:

GRUB_CMDLINE_LINUX_DEFAULT="quiet resume=UUID=XXXXXXXXXXXXXXXXXXXXX apparmor=1 security=apparmor udev.log_priority=3"

É importante, claro, tomar muito cuidado com a escrita desses parâmetros e verificar mais de uma vez se não foram digitados errados.

E adicionar ao fim do arquivo (poderia ser também entre os parênteses como depois percebi usando Arch):

lsm=landlock,lockdown,yama,loadpin,safesetid,integrity,apparmor,bpf

Configurar o lsm é o que a wiki do Arch sugere, mas que sozinho não funciona. O valor exato pra usar no Manjaro, assim como o restante da resposta, eu consegui direto no fórum do Manjaro.

Por fim, é bom dar um

sudo update-grub

Embora ao menos no Arch “atualizar” o grub também pode ser feito regerando a configuração do grub com sudo grub-mkconfig -o /boot/grub/grub.cfg
O que deve ser feito com cuidado pra não comprometer o boot. De preferência etão, usar update-grub.

thespation · Fevereiro 4, 2022, 4:39pm

Este tópico foi fechado automaticamente 3 dias depois da última resposta. Novas respostas não são mais permitidas.