[Apparmor-general] apparmor-parser gone wild?!
Christian Boltz
apparmor at cboltz.de
Thu Sep 4 12:44:16 MDT 2008
Hello,
top shows the following output on a quite new server with openSUSE 11.0
after running aa-logprof:
top - 20:27:06 up 8:09, 4 users, load average: 1.99, 1.52, 0.73
Tasks: 115 total, 3 running, 112 sleeping, 0 stopped, 0 zombie
Cpu(s): 0.0%us, 50.1%sy, 0.0%ni, 49.9%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st
Mem: 6097424k total, 1587960k used, 4509464k free, 38372k buffers
Swap: 2104460k total, 0k used, 2104460k free, 469516k cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
13000 root 20 0 861m 855m 924 R 100 14.4 6:59.00 /sbin/apparmor_parser -I/etc/apparmor.d -r
1 root 20 0 864 328 272 S 0 0.0 0:00.44 init [3]
2 root 15 -5 0 0 0 S 0 0.0 0:00.00 [kthreadd]
.....
As you can see, apparmor_parser takes 100% of the cpu and 14.4% of the
available memory (the server has 6 GB RAM!).
To make it even worse, it doesn't response to kill, not even kill -9 :-(
Since init 6 also doesn't do anything, I had to reboot the server the
hard way.
Is this a known problem? How can I avoid it?
I can provide my profiles off-list (at least the httpd2-prefork profile
contains customer names, so I don't want to send them on the list).
Transcript of the logprof session (in german):
# aa-logprof
Lese Protokolleinträge von /var/log/audit/audit.log.
AppArmor-Profile in /etc/apparmor.d werden aktualisiert.
Änderungen im Meldungsmodus:
Profil: /usr/sbin/httpd2-prefork
Pfad: /etc/apache2/conf.d/
Modus: owner r
Schweregrad: 3
[1 - /etc/apache2/conf.d/]
[(A)llow] / (D)eny / (G)lob / Glob w/(E)xt / (N)ew / Abo(r)t / (F)inish / (O)pts
/etc/apache2/conf.d/ owner r wird zum Profil hinzugefügt.
Profil: /usr/sbin/httpd2-prefork
Pfad: /etc/apache2/vhosts.d/
Modus: owner r
Schweregrad: 3
[1 - /etc/apache2/vhosts.d/]
[(A)llow] / (D)eny / (G)lob / Glob w/(E)xt / (N)ew / Abo(r)t / (F)inish / (O)pts
/etc/apache2/vhosts.d/ owner r wird zum Profil hinzugefügt.
Profil: /usr/sbin/httpd2-prefork
Pfad: /etc/apache2/vhosts.d/hostings/
Modus: owner r
Schweregrad: 3
[1 - /etc/apache2/vhosts.d/hostings/]
[(A)llow] / (D)eny / (G)lob / Glob w/(E)xt / (N)ew / Abo(r)t / (F)inish / (O)pts
/etc/apache2/vhosts.d/hostings/ owner r wird zum Profil hinzugefügt.
Profil: /usr/sbin/httpd2-prefork
Pfad: /etc/gai.conf
Modus: owner r
Schweregrad: unknown
[1 - /etc/gai.conf]
[(A)llow] / (D)eny / (G)lob / Glob w/(E)xt / (N)ew / Abo(r)t / (F)inish / (O)pts
/etc/gai.conf owner r wird zum Profil hinzugefügt.
Profil: /usr/sbin/httpd2-prefork
Pfad: /etc/ssl/private/cboltz.de.crt
Modus: r
Schweregrad: 2
[1 - /etc/ssl/private/cboltz.de.crt]
[(A)llow] / (D)eny / (G)lob / Glob w/(E)xt / (N)ew / Abo(r)t / (F)inish / (O)pts
/etc/ssl/private/cboltz.de.crt r wird zum Profil hinzugefügt.
Profil: /usr/sbin/httpd2-prefork
Pfad: /etc/ssl/private/cboltz.de_privatekey.pem
Modus: r
Schweregrad: 2
[1 - /etc/ssl/private/cboltz.de_privatekey.pem]
[(A)llow] / (D)eny / (G)lob / Glob w/(E)xt / (N)ew / Abo(r)t / (F)inish / (O)pts
/etc/ssl/private/cboltz.de_privatekey.pem r wird zum Profil hinzugefügt.
Profil: /usr/sbin/httpd2-prefork
Pfad: /etc/ssl/private/sprachakt.com.crt
Modus: r
Schweregrad: 2
[1 - /etc/ssl/private/sprachakt.com.crt]
[(A)llow] / (D)eny / (G)lob / Glob w/(E)xt / (N)ew / Abo(r)t / (F)inish / (O)pts
/etc/ssl/private/sprachakt.com.crt r wird zum Profil hinzugefügt.
Profil: /usr/sbin/httpd2-prefork
Pfad: /etc/ssl/private/sprachakt.com_privatekey.pem
Modus: r
Schweregrad: 2
[1 - /etc/ssl/private/sprachakt.com_privatekey.pem]
[(A)llow] / (D)eny / (G)lob / Glob w/(E)xt / (N)ew / Abo(r)t / (F)inish / (O)pts
/etc/ssl/private/sprachakt.com_privatekey.pem r wird zum Profil hinzugefügt.
Profil: /usr/sbin/httpd2-prefork
Pfad: /proc/12988/attr/current
Modus: w
Schweregrad: 9
1 - /proc/12988/attr/current
[2 - /proc/*/attr/current]
[(A)llow] / (D)eny / (G)lob / Glob w/(E)xt / (N)ew / Abo(r)t / (F)inish / (O)pts
/proc/*/attr/current w wird zum Profil hinzugefügt.
Profil: /usr/sbin/httpd2-prefork
Pfad: /var/lib/php5/session_mm_apache2handler0.sem
Alter Modus: rwl
Neuer Modus: rwl + owner k
Schweregrad: unknown
1 - /var/lib/php5/session_mm_apache2handler0.sem
[2 - /var/lib/php5/session_mm_*]
[(A)llow] / (D)eny / (G)lob / Glob w/(E)xt / (N)ew / Abo(r)t / (F)inish / (O)pts
/var/lib/php5/session_mm_* rwl + owner k wird zum Profil hinzugefügt.
Profil: /usr/sbin/httpd2-prefork^HANDLING_UNTRUSTED_INPUT
Pfad: /proc/12988/attr/current
Modus: w
Schweregrad: 9
1 - /proc/12988/attr/current
[2 - /proc/*/attr/current]
[(A)llow] / (D)eny / (G)lob / Glob w/(E)xt / (N)ew / Abo(r)t / (F)inish / (O)pts
/proc/*/attr/current w wird zum Profil hinzugefügt.
Änderungen im Erzwingen-Modus:
Profil: /usr/sbin/httpd2-prefork^vhost_cboltz
Pfad: /proc/12988/attr/current
Modus: w
Schweregrad: 9
1 - /proc/12988/attr/current
[2 - /proc/*/attr/current]
(A)llow / [(D)eny] / (G)lob / Glob w/(E)xt / (N)ew / Abo(r)t / (F)inish / (O)pts
/proc/*/attr/current w wird zum Profil hinzugefügt.
Profil: /usr/sbin/httpd2-prefork^vhost_cboltz
Pfad: /var/log/apache2/error_log
Modus: w
Schweregrad: 8
[1 - /var/log/apache2/error_log]
(A)llow / [(D)eny] / (G)lob / Glob w/(E)xt / (N)ew / Abo(r)t / (F)inish / (O)pts
/var/log/apache2/error_log w wird zum Profil hinzugefügt.
= Changed Local Profiles =
Die folgenden lokalen Profile wurden geändert. Wollen Sie sie speichern?
[1 - /usr/sbin/httpd2-prefork]
(S)ave Changes / [(V)iew Changes] / Abo(r)t
Aktualisiertes Profil für /usr/sbin/httpd2-prefork wird geschrieben.
Regards,
Christian Boltz
--
> Ich werde gerne als Frau Fischer angesprochen, Herr Fischer macht
> sich da nicht so gut.
Warum denn nicht. Vielleicht kannst Du dann ja mit der
Flugbereitschaft der Bundeswehr auf die Melediven fliegen ;o)
[> Helga Fischer und Thorsten Körner in suse-linux]
More information about the Apparmor-general
mailing list